Фальшивые расширения для Firefox воруют криптовалюту

Исследователи Koi Security сообщили о масштабной хакерской операции, нацеленной на пользователей криптокошельков: мошенники создали десятки поддельных расширений для браузера Firefox, которые внешне были неотличимы от официальных плагинов популярных кошельков, включая MetaMask, Trust Wallet, Coinbase, Exodus и другие. Установив такое расширение, пользователь незаметно передавал секретные ключи от кошелька на серверы преступников, рискуя потерять все свои активы.

Анализ показал, что кампания действует как минимум с апреля 2025 года. Только за последние недели в магазине Firefox Add-ons появилось несколько новых фейковых плагинов, что говорит о том, что операция продолжается и развивается. В общей сложности специалисты связали с этой схемой более 40 уникальных расширений, которые передавали не только ключи, но и IP-адреса жертв для последующего слежения.

Хакеры использовали сразу несколько уловок для завоевания доверия пользователей: копировали названия и логотипы настоящих криптокошельков, клонировали их открытые исходники с добавлением вредоносного кода, а также массово накручивали фальшивые положительные отзывы — зачастую сотни пятизвездочных рецензий на каждое расширение.

Среди косвенных признаков, указывающих на русскоязычное происхождение группы, — комментарии на русском в коде расширений и русскоязычные метаданные в документах, обнаруженных на управляющих серверах.