Исследователи раскрыли сеть вредоносных расширений для Firefox

Исследователи безопасности обнаружили вредоносную кампанию, направленную на пользователей Firefox с использованием расширений браузера. Firefox, как и браузеры на основе Chromium, поддерживает установку расширений, которые позволяют изменять функциональность самого браузера или отдельных сайтов.

Популярные типы расширений — это блокировщики контента, загрузчики видео и расширения для поиска купонов. Прежде чем попасть в каталог Mozilla Add-ons, такие расширения проходят серию проверок, направленных на исключение вредоносного или проблемного поведения.

Часть расширений проходит ручную модерацию, что выгодно отличает Mozilla от Google, где проверка при публикации в Chrome Web Store осуществляется полностью автоматически.

По информации Koi Security, в рамках этой вредоносной кампании использовались расширения, маскирующиеся под официальные криптокошельки, такие как Coinbase, MetaMask, Trust Wallet и MyMonero. Их главная задача — похищение данных кошельков, что сразу же подвергает риску все активы пользователя.

Koi Security предупреждает, что кампания все еще продолжается, и часть вредоносных расширений до сих пор доступна в официальном каталоге дополнений для Firefox. По данным исследователей, активность зафиксирована как минимум с апреля 2025 года, а последние загрузки новых расширений происходили буквально на прошлой неделе. Это говорит о том, что злоумышленники все еще активны, их подходы развиваются и усложняются.

Основной канал распространения — официальный каталог расширений Mozilla.

Вредоносные расширения крадут данные кошельков напрямую с сайтов, на которые они нацелены, и передают информацию на удаленный сервер.

По словам исследователей, злоумышленники использовали стандартные приемы для завоевания доверия пользователей. Поддельные расширения копировали визуальный стиль и названия настоящих кошельков, а также искусственно увеличивали количество положительных отзывов. В одном из случаев расширение, которым пользовались менее 100 человек, собрало свыше 2 000 пятизвездочных оценок.

Список вредоносных расширений:

• bitget-by-addon
• bitget-by-addons
• bitget-extension
• btc-wallet
• coinbasewallet
• developer-trust
• eth-for-edition
• eth-wallet
• ethereum-wallet
• ethereum-wallet-crypto
• fil-project
• filfox
• filfox-wallet
• is-a-block-explorer
• keplr-wallet
• leap-wallet
• metamask-addons
• metamask-crypto-official
• metamask-for-firefox
• metamask-for-wallet
• metamask-the-extension
• metamaskext
• mew-wallet-ethereum-defi-web3
• mymonero-wallet
• official-metamask
• official-metamask-wallet
• okx-add
• okx-addons
• okx-wallet-extension
• okx-wallet-extension1
• phantom-ext-off
• phantom-wallet-extension
• trust-app
• trust-application
• trust-bestwallet
• trust-cryp
• trust-developer
• trust-extension-wallet
• trust-for-mozilla
• trust-wallet-mozilla-add
• wallet-for-bitcoin
• wallet-for-trusr-crypto-wallet
• wallet-for-trust
• wallet-metamask-crypto-wallet

Пользователям Firefox, которые ранее устанавливали расширения для кошельков, следует убедиться в их легитимности и отсутствии вредоносных функций, сравнив названия.

Браузерные расширения могут быть очень полезными, но они же часто используются киберпреступниками для атак. Это касается не только Mozilla Store, но и Интернет-магазина Chrome Web Store. Расширения с пометкой «Рекомендуется» в Mozilla считаются более безопасными, так как проходят ручную модерацию.