Специалисты по кибербезопасности обнаружили масштабную кампанию распространения вредоносных расширений для браузера Firefox, нацеленных на пользователей криптовалютных кошельков. По данным Koi Security, злоумышленники разместили более 40 поддельных расширений, маскирующихся под официальные инструменты от таких платформ, как MetaMask, Trust Wallet, Coinbase, Phantom, OKX и других.
Расширения, действующие как минимум с апреля 2025 года, были загружены в официальный магазин Mozilla Add-ons. Чтобы ввести пользователей в заблуждение, разработчики фальшивых дополнений массово накручивали положительные отзывы и использовали идентичные логотипы и названия настоящих кошельков.
Злоумышленники клонировали открытый исходный код легитимных расширений, добавив вредоносный функционал: скрытый сбор seed-фраз, ключей и IP-адресов, которые затем передавались на внешние серверы.
В отличие от классического фишинга, эти атаки происходят внутри браузера, что значительно усложняет обнаружение угрозы антивирусами или защитными решениями. По словам исследователя Ювала Ронена, подобный подход позволяет злоумышленникам оставаться незамеченными, не нарушая привычного пользовательского опыта.
Признаки в коде указывают на возможное русскоязычное происхождение разработчиков. Mozilla уже удалила большинство опасных расширений и внедрила систему раннего обнаружения поддельных криптокошельков.
Рекомендации: пользователям следует загружать расширения только от проверенных разработчиков, внимательно изучать отзывы и следить за обновлениями безопасности браузера.
Mozilla исправляет ошибку Firefox, позволяющую получить права администратора Windows
