Koi 보안 회사의 연구원들은 Firefox에서 악성 지갑 확장 프로그램을 유포하는 캠페인을 발견했습니다. 이 악성 앱은 가장 널리 사용되는 지갑을 사칭하여 개인 암호를 훔치고 사용자를 위험에 빠뜨려 자금이 고갈되도록 만듭니다.
현재 진행 중인 캠페인에서 악성 확장 프로그램이 유포되고 있으며, 이 확장 프로그램들은 파이어폭스에서 가장 흔하게 사용되는 암호화폐 지갑들을 사칭하고 있습니다. 보안 분석 업체 코이(Koi)는 발견했습니다 .
SlowMist 공격팀은 공격이 아직 진행 중이므로 사용자들에게 주의를 당부했습니다. 가짜 앱들이 공식 Firefox 앱 스토어를 통해 확산되고 있어 더욱 기만적이고 위험할 수 있습니다.
🚨SlowMist TI 알림🚨
dent 훔치기 위해 설계된 #Firefox 이용한 대규모 악성 캠페인이 MetaMask, Coinbase Wallet, Trust Wallet, Phantom, OKX 등 #지갑을 사칭하는 40개 이상의 가짜 확장 프로그램이 활동하고 있습니다. pic.twitter.com/IIfE5ifxJi
— 슬로우미스트 (@SlowMist_Team) 2025년 7월 3일
이 공격은 비교적 간단하지만, 암호화폐에 대한 가벼운 접근을 원하는 사용자를 노리는 가장 쉬운 방법입니다. 해킹된 앱을 사용하거나 개인 정보를 입력하면 상당한 손실을 입을 수 있습니다. 이미 많은 사용자들이 가짜 앱으로 인한 손실을
암호화폐 가치가 상승함에 따라 2025년 상반기에 해킹 및 악용 사례가 급증했습니다 북한 해커들이 프로젝트에 침투하여 악성 코드로 인해 수백 개의 프로젝트가 피해를 입었을 가능성이 있습니다.
파이어폭스 가짜 확장 프로그램은 가장 널리 사용되는 전자지갑을 대상으로 합니다
Koi는 Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet, Filfox 등 가장 널리 사용되는 지갑 확장 프로그램의 가짜 앱을 탐지했습니다.
연구진은 지갑으로 위장한 앱이 40개 이상 발견됐으며, 새로운 앱들이 계속해서 나타나고 있다고 밝혔습니다. 일부 가짜 지갑은 비공식 링크를 통해 여전히 활성화되어 있습니다. 연구진에 따르면, 이러한 가짜 앱들은 2025년 4월경부터 확산되기 시작했습니다.
해당 확장 프로그램은 지갑 확장 기능을trac하여 공격자가 제어하는 서버로 전송합니다. 또한 앱은 trac및 추가 공격 대상으로 사용하기 위해 사용자의 IP 주소를 전송합니다.
공격자들은 합법적인 지갑의 오픈 소스 코드를 복제했습니다
이 공격은 비교적 간단했으며, MetaMask와 같은 오픈 소스 프로젝트의 정식 지갑 코드를 사용하는 경우가 많았습니다. 가짜 앱은 악성 코드를 삽입하여 지갑이 데이터와dent증명을 훔칠 수 있도록 했습니다.
가짜 지갑 앱들은 앱 스토어에서 실제 지갑과 동일한 로고와 디자인을 사용하여 활성화되어 있었습니다. 이전에는 가짜 지갑들이 특정 틈새 프로젝트를 표적으로 삼았지만, 이번에는 공격자가 DeFi, 거래, NFT 및 기타 온체인 작업에 널리 사용되는 다중 자산 지갑을 사칭했습니다.
코드 분석 결과, 일부 앱에서 러시아어 주석이 발견된 점으로 미루어 보아 공격은 러시아에서 비롯되었을 가능성이 가장 높다는 결론이 나왔습니다. 명령 및 제어 서버 중 하나에 있는 파일의 메타데이터 또한 러시아 공격자를 지목하고 있습니다.
Koi는 사용자들에게 허용 목록 필터를 설치하고 검증 없이 앱을 다운로드하지 말 것을 권장합니다. 일부 앱은 처음에는 문제가 없어 보일 수 있지만, 나중에 업데이트되면서 동작 방식이 변경될 수 있습니다. 보안 연구원들은 또한 앱을 직접 검색하는 것을 권장하지 않습니다. 검색 결과에 의도적으로 별점 5점을 부풀린 가짜 지갑이 나타날 수 있기 때문입니다. 가장 좋은 방법은 지갑의 공식 웹페이지나 소셜 미디어를 이용하는 것입니다.
또한 사용자들은 별점 5점 리뷰가 지나치게 많은 앱을 볼 때 회의적인 태도를 취해야 한다는 조언을 받았습니다. 이러한 리뷰는 앱이 안정적이고 합법적인 것처럼 보이게 하기 위해 인위적으로 조작된 것일 수 있습니다.
