В офіційному магазині розширень для Firefox знайшли понад 40 аддонів, які видавали себе за популярні криптовалютні гаманці, а насправді викрадали дані гаманців та конфіденційну інформацію жертв.

Спеціалісти Koi security, які виявили цю кампанію, пишуть, що деякі розширення маскувались під гаманці Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr і MyMonero. Усі вони містили шкідливий код, який передавав вкрадену інформацію на сервери, контрольовані зловмисниками.

За словами дослідників, багато з цих аддонів є клонами опенсорсних версій справжніх гаманців, але з додаванням шкідливої ​​логіки. Зокрема, їх код містить ліснери подій input і click, які відстежують введення конфіденційних даних.

Шкідливе ПО перевіряє рядки введення довжиною понад 30 символів, щоб знайти можливі ключі гаманців та seed-фрази, а потім передає дані своїм операторам. При цьому діалоги помилок приховані від очей користувачів — значення прозорості встановлено на нуль (opacity: 0) для всіх елементів, які б попередили жертву про те, що відбувається.

Фахівці вважають, що ця кампанія активна як мінімум з квітня 2025 року, і нові шкідливі розширення постійно додаються до магазину Firefox (найновіші з’явилися минулого тижня).

Щоб досягти довіри користувачів зловмисники використовують логотипи реальних брендів, під які маскуються їх розширення. Крім того, багато аддонів мають сотні фальшивих відгуків із п’ятьма зірками, причому їх кількість перевищує кількість установок.

Варто зауважити, що відгуків із однією зіркою теж чимало, і переважно в них повідомляється про шахрайство. Ймовірно, вони написані користувачами, які вже втратили свою криптовалюту.

У Mozilla повідомили ЗМІ, що їм відомо про цю шкідливу активність, і малварь вже видаляють.