セキュリティ企業Koiの研究者らは、Firefox上で悪質なウォレット拡張機能を拡散する継続的なキャンペーンを発見しました。これらの悪質アプリは、最も広く利用されているウォレットを偽装し、個人情報を盗み出し、ユーザーを資金流出の危険にさらします。.
Firefoxで最も一般的な仮想通貨ウォレットを偽装した悪意のある拡張機能が拡散しているキャンペーンが進行中です。Koi Securityは、一部のアプリが削除された一方で、正規のウォレットを装ったアプリが依然としてアクティブであることを発見しました
SlowMist攻撃チームは、攻撃が依然として活発であるため、ユーザーに対し警戒を呼びかけました。偽アプリは公式Firefoxアプリストアを通じて拡散しており、より誤解を招きやすく危険なものとなっています。.
🚨スローミストTIアラート🚨
仮想通貨ウォレットの認証情報を盗むことを目的とした、数十もの偽のFirefox拡張機能dent使った大規模な悪質キャンペーンがウォレットを装った40以上の偽拡張機能が存在します… pic.twitter.com/IIfE5ifxJi
— スローミスト(@SlowMist_Team) 2025年7月3日
この攻撃は比較的単純ですが、暗号資産に気軽にアクセスしようとする最も手軽なタイプのユーザーを狙っています。侵害されたアプリを使用したり、アプリに個人的なフレーズを入力したりすると、大きな損失につながる可能性があります。被害は。
2025年前半には、暗号資産の価値が上昇したため、ハッキングやエクスプロイトが急増しました北朝鮮のハッカーがプロジェクトに侵入し、数百ものプロジェクトが悪意のあるコードの影響を受けている可能性も懸念されます。
Firefoxの偽拡張機能は最も広く使われているウォレットを狙っている
Koi は、Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、 Ethereum Wallet、Filfox など、最も広く使用されているウォレット拡張機能の偽アプリを阻止しました。.
研究者たちは、ウォレットを装った40以上のアプリを発見し、新たなアプリも登場しています。偽ウォレットの中には、非公式リンク上で現在もアクティブなものも存在します。研究者によると、偽アプリの拡散は2025年4月頃から始まったとのことです。.
これらの拡張機能は、攻撃者が管理するサーバーに侵入し、ウォレット拡張機能をtracして送信します。また、 tracとさらなる標的化のためにユーザーのIPアドレスも送信します。.
攻撃者は正規のウォレットのオープンソースコードを複製した
攻撃は比較的単純で、MetaMaskのようなオープンソースプロジェクトの正規のウォレットコードが利用されることが多かった。偽アプリはその後、ウォレットに悪意のあるコードを挿入し、データやdent情報を盗み出すことに成功した。.
偽ウォレットアプリは、オリジナルのウォレットと同じロゴとスタイルを使用してアプリストアで活動していました。これまで、偽ウォレットは特定のニッチなプロジェクトを標的としていましたが、今回は、 DeFi、取引、NFT、その他のオンチェーンタスクで広く使用されているマルチアセットウォレットを偽装しました。.
コード解析の結果、一部のアプリにロシア語のコードコメントが見つかったため、攻撃はロシアから発信された可能性が高いと結論付けられました。また、コマンド&コントロールサーバーの1つにあるファイルのメタデータからも、ロシアの攻撃者が関与している可能性が示唆されています。.
Koiは、ユーザーに許可リストフィルターをインストールし、審査なしでアプリをダウンロードしないようにアドバイスしています。一部のアプリは問題が見られない場合でも、後日アップデートで動作が変化する可能性があります。セキュリティ研究者は、アプリを直接検索しないようアドバイスしています。検索結果には、意図的に5つ星の評価を水増しした偽のウォレットが表示される可能性があるためです。最善の方法は、ウォレットの公式ウェブページまたはソーシャルメディアを利用することです。.
また、アプリが確立され合法的であるように見せるために人為的に付けられた5つ星のレビューが多すぎるアプリを見かけたら、疑ってかかるようにとユーザーにアドバイスした。.
