صورة من اكتشف باحثون من شركة كوي الأمنية حملة مستمرة لنشر إضافات خبيثة لمحفظة الإنترنت على متصفح فايرفوكس. تنتحل هذه التطبيقات الخبيثة صفة المحافظ الإلكترونية الأكثر استخدامًا، وتسرق عبارات الاسترداد الخاصة، مما يجعل المستخدمين عرضة للاحتيال.
تنتشر حملة مستمرة لنشر إضافات خبيثة، تنتحل صفة بعض محافظ العملات الرقمية الأكثر شيوعًا على متصفح فايرفوكس. وقد اكتشف بعض هذه التطبيقات قد أُزيلت، بينما لا تزال تطبيقات أخرى نشطة، متظاهرةً بأنها محافظ شرعية.
حذّر فريق هجوم SlowMist المستخدمين من ضرورة توخي الحذر، إذ لا يزال الهجوم مستمراً. وتنتشر التطبيقات المزيفة عبر متجر تطبيقات Firefox الرسمي، مما يجعلها أكثر تضليلاً وخطورة.
🚨تنبيه بشأن جهاز SlowMist TI🚨
تجري حاليًا حملة خبيثة واسعة النطاق تتضمن عشرات الإضافات المزيفة لمتصفح فايرفوكس، مصممة لسرقة بيانات اعتماد محافظ العملات الرقمية dent صفة محافظ مثل ميتا ماسك، وكوين بيس، وتراست واليت، وفانتوم، وأو كي إكس،... pic.twitter.com/IIfE5ifxJi
— SlowMist (@SlowMist_Team) 3 يوليو 2025
الهجوم بسيط نسبيًا، لكنه يستهدف أسهل أنواع المستخدمين الذين يسعون للوصول إلى العملات الرقمية بشكل عرضي. قد يؤدي استخدام تطبيق مخترق، أو إدخال عبارات خاصة فيه، إلى خسائر فادحة. وقد بدأ المستخدمون بالفعل بالإبلاغ عن خسائر ناجمة عن هذه التطبيقات المزيفة.
تسارعت عمليات الاختراق والاستغلال في النصف الأول من عام 2025، بالتزامن مع ارتفاع قيمة العملات الرقمية. كما برزت تهديدات من قراصنة كوريا الشمالية الذين تسللوا إلى المشاريع، حيث يُحتمل أن يكون المئات قد تأثروا ببرمجيات خبيثة.
تستهدف الإضافات المزيفة لمتصفح فايرفوكس المحافظ الإلكترونية الأكثر استخدامًا
اعترضت Koi تطبيقات مزيفة لبعض ملحقات المحافظ الأكثر استخدامًا، بما في ذلك Coinbase وMetaMask وTrust Wallet وPhantom وExodus وOKX وKeplr وMyMonero وBitget وLeap و Ethereum Wallet وFilfox.
اكتشف الباحثون أكثر من 40 تطبيقًا تنتحل صفة محافظ إلكترونية، مع ظهور تطبيقات جديدة باستمرار. ولا تزال بعض هذه المحافظ المزيفة نشطة عبر روابط غير رسمية. ووفقًا للباحثين، بدأت هذه التطبيقات المزيفة بالانتشار في أبريل 2025 تقريبًا.
تقوم هذه الإضافاتtracبيانات المحفظة وإرسالها، لتصل إلى خادم يتحكم به المهاجم. كما تقوم التطبيقات بنقل عنوان IP الخاص بالمستخدم tracواستهدافه لاحقًا.
قام المهاجمون باستنساخ الشفرة المصدرية المفتوحة لمحافظ إلكترونية شرعية
كان الهجوم بسيطًا نسبيًا، حيث استخدم في كثير من الأحيان رمز المحفظة الشرعي لمشاريع مفتوحة المصدر مثل MetaMask. ثم قامت التطبيقات المزيفة بحقن الرمز الخبيث للسماح للمحفظة بسرقة البيانات ومعلوماتdent.
كانت تطبيقات المحافظ المزيفة نشطة على متاجر التطبيقات، مستخدمةً نفس الشعارات والتصميم الخاص بالمحفظة الأصلية. في السابق، استهدفت المحافظ المزيفة مشاريع متخصصة محددة، ولكن هذه المرة، انتحل المهاجم صفة محافظ متعددة الأصول، شائعة الاستخدام في التمويل DeFi) والتداول والرموز غير القابلة للاستبدال (NFT) وغيرها من المهام على سلسلة الكتل (البلوك تشين).
أظهر تحليل الشفرة أن الهجوم على الأرجح انطلق من روسيا، حيث تم اكتشاف تعليقات برمجية باللغة الروسية في بعض التطبيقات. كما تشير البيانات الوصفية من ملف على أحد خوادم التحكم والسيطرة إلى مهاجم روسي.
ينصح تطبيق Koi المستخدمين بتثبيت فلتر قائمة السماح وتجنب تنزيل التطبيقات دون التحقق منها. قد لا تظهر بعض التطبيقات مشاكل في البداية، ولكنها قد تُحدّث لاحقًا وتُغيّر سلوكها. كما ينصح باحثو الأمن بعدم البحث عن التطبيقات مباشرةً، لأن النتائج قد تُشير إلى محافظ وهمية بتقييمات مُبالغ فيها (خمس نجوم). يُفضّل استخدام الموقع الإلكتروني الرسمي للمحفظة أو صفحاتها على مواقع التواصل الاجتماعي.
كما نُصح المستخدمون بالتشكيك عند رؤية تطبيق يحتوي على عدد كبير جدًا من التقييمات من فئة الخمس نجوم، والتي تم وضعها بشكل مصطنع لجعل التطبيق يبدو راسخًا وشرعيًا.
