Фотография предоставлена Исследователи из компании Koi Security обнаружили продолжающуюся кампанию по распространению вредоносных расширений для кошельков в Firefox. Эти вредоносные приложения имитируют наиболее распространенные кошельки, крадут приватные фразы и делают пользователей уязвимыми для потери средств.
В настоящее время ведётся кампания по распространению вредоносных расширений, имитирующих наиболее распространённые криптокошельки в Firefox. Компания Koi Security обнаружила, что некоторые приложения были удалены, в то время как другие оставались активными, выдавая себя за легитимные кошельки.
Группа злоумышленников, занимавшаяся атакой SlowMist, также предупредила пользователей о необходимости проявлять бдительность, поскольку атака все еще активна. Поддельные приложения распространяются через официальный магазин приложений Firefox, что делает их потенциально более вводящими в заблуждение и опасными.
🚨Предупреждение от SlowMist TI🚨
Ведется масштабная вредоносная кампания с использованием десятков поддельных для Firefox , предназначенных для кражи учетных данных криптовалютных кошельков dent кошельки, такие как MetaMask, Coinbase Wallet, Trust Wallet, Phantom, OKX и другие. pic.twitter.com/IIfE5ifxJi
— SlowMist (@SlowMist_Team) 3 июля 2025 г.
Атака относительно проста, но нацелена на самый простой тип пользователей, которые ищут случайный доступ к криптовалюте. Использование взломанного приложения или ввод в него приватных фраз может привести к значительным потерям. Пользователи уже сообщают о потерях из-за поддельных приложений.
В первой половине 2025 года участились хакерские атаки и взломы хакеров из КНДР, проникающих в проекты, в результате чего сотни из них потенциально могли пострадать от вредоносного кода.
Поддельные расширения для Firefox нацелены на наиболее распространенные электронные кошельки
Koi перехватил поддельные приложения для некоторых из наиболее распространенных расширений для кошельков, включая Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet и Filfox.
Исследователи обнаружили более 40 приложений, выдающих себя за электронные кошельки, и появляются новые. Некоторые из поддельных кошельков до сих пор активны по неофициальным ссылкам. По словам исследователей, распространение поддельных приложений началось примерно в апреле 2025 года.
Расширенияtracи рассылают расширения кошелька, достигая сервера, контролируемого злоумышленником. Приложения также передают IP-адрес пользователя для tracи дальнейшего таргетирования.
Злоумышленники клонировали исходный код легитимных кошельков
Атака была относительно простой, часто использовалась легитимная кодовая база кошельков для проектов с открытым исходным кодом, таких как MetaMask. Затем поддельные приложения внедряли вредоносный код, позволяющий кошельку красть данные иdentданные.
Поддельные приложения-кошельки активно распространялись в магазинах приложений, используя те же логотипы и стиль, что и оригинальные кошельки. Ранее поддельные кошельки были нацелены на конкретные нишевые проекты, но на этот раз злоумышленник имитировал мультиактивные кошельки, широко используемые для DeFi, торговли, NFT и других задач в блокчейне.
Анализ кода показал, что атака, скорее всего, была совершена из России, поскольку в некоторых приложениях были обнаружены комментарии на русском языке. Метаданные из файла на одном из серверов управления и контроля также указывают на российского злоумышленника.
Koi советует пользователям установить фильтр разрешенных приложений и избегать загрузки приложений без предварительной проверки. Некоторые приложения могут не вызывать проблем, но позже обновиться и изменить свое поведение. Исследователи в области безопасности также не рекомендуют искать приложения напрямую, поскольку результаты могут указывать на поддельные кошельки с завышенными пятизвездочными отзывами. Лучший подход — использовать официальную веб-страницу кошелька или социальные сети.
Пользователям также рекомендовали с недоверием относиться к приложению со слишком большим количеством пятизвездочных отзывов, которые были искусственно размещены, чтобы создать впечатление солидности и легитимности приложения.
