Более 40 поддельных расширений Firefox крадут данные криптокошельков

Эксперты по кибербезопасности обнаружили масштабную операцию мошенников, которые используют более 40 поддельных расширений Firefox для кражи данных криптокошельков. Об этом сообщила исследовательская компания Koi Security в отчете, опубликованном 2 июля.

Под прикрытием известных брендов

Злоумышленники создали десятки вредоносных расширений, которые выдают себя за официальные приложения популярных криптоплатформ. В списке подделок оказались такие известные сервисы:

• Coinbase — одна из крупнейших криптобирж в мире
• MetaMask — самый популярный браузерный кошелек для Ethereum
• Trust Wallet — мобильный кошелек от Binance
• Phantom — ведущий кошелек для блокчейна Solana
• Exodus — многовалютный десктопный кошелек
• OKX — глобальная криптобиржа и кошелек
• Keplr — кошелек для экосистемы Cosmos
• MyMonero — специализированный кошелек для Monero
• Bitget — криптобиржа и кошелек
• Leap — еще один кошелек Cosmos
• Ethereum Wallet — общее название для кошельков Ethereum
• Filfox — кошелек для сети Filecoin

После установки таких расширений пользователи незаметно для себя передают злоумышленникам конфиденциальную информацию о своих кошельках. Это открывает доступ к криптоактивам жертв и может привести к их полной потере.

Атака продолжается

Исследователи подчеркивают, что кампания «продолжается и очень активна». Некоторые вредоносные расширения до сих пор доступны для скачивания. «Мы можем подтвердить, что кампания активна как минимум с апреля 2025 года», — говорится в отчете. «Новые вредоносные расширения загружались в магазин Firefox Add-ons еще на прошлой неделе. Постоянный характер загрузок указывает на то, что операция все еще активна, настойчива и развивается».

Для завоевания доверия пользователей мошенники используют поддельные рейтинги и отзывы. Многие из фальшивых расширений имеют сотни пятизвездочных отзывов, которые создают иллюзию надежности и популярности продукта.

Русский след

Эксперты Koi Security обнаружили признаки, указывающие на участие русскоязычных злоумышленников. В частности, исследователи нашли комментарии в коде на русском языке внутри вредоносных расширений, а также метаданные PDF-файлов на русском языке, размещенных на серверах управления, которые используются в рамках операции.

«Хотя это не является окончательным доказательством, эти артефакты указывают на то, что кампания может иметь российское происхождение», — отметили исследователи.

Данная схема демонстрирует высокий уровень технической подготовки преступников. Они не только создают убедительные копии популярных расширений, но и поддерживают активную инфраструктуру для управления вредоносным ПО. Кроме того, злоумышленники постоянно обновляют свой арсенал, загружая новые поддельные расширения даже после обнаружения предыдущих.

Пользователям криптокошельков стоит быть особенно осторожными при установке браузерных расширений. Рекомендуется скачивать расширения только с официальных сайтов разработчиков и внимательно проверять их подлинность перед установкой.