В последние месяцы в экосистеме Firefox стремительно участились инциденты, связанные с мошенническими расширениями, маскирующимися под популярные криптовалютные кошельки. Кампания под названием FoxyWallet привлекла внимание экспертов по безопасности и пользователей из-за массового распространения более 40 вредоносных дополнений, которые копировали интерфейс и функционал легитимных расширений, таких как MetaMask, Coinbase Wallet, Trust Wallet и других. Эти поддельные расширения нацелены на кражу секретных данных пользователей — ключей доступа и seed-фраз — для последующего похищения криптовалюты с их кошельков. Проблема осложняется тем, что мошенники берут за основу открытый исходный код официальных расширений, добавляя в них скрытую вредоносную логику. Как результат, новые дополнения работают почти так же, как настоящие, не вызывая подозрений у пользователей, при этом в фоновом режиме отправляют конфиденциальные данные на серверы злоумышленников.
Одним из ключевых аспектов работы этой кампании является механизм фильтрации информации: вредоносное ПО проверяет длину вводимых пользователем строк и отправляет на удаленный сервер только те, которые превышают 30 символов. Таким образом мошенники снижают риск обнаружения, так как случайные данные или короткие слова не передаются. Вместе с криптографическими ключами они получают и IP-адреса жертв, что позволяет отслеживать геолокацию пользователей и проводить целевые атаки. По данным Koi Security, исследовавших эту угрозу, кампания активна как минимум с апреля 2025 года, а новые поддельные расширения продолжали появляться в магазине Firefox вплоть до начала июля, несмотря на своевременные уведомления Mozilla. Mozilla, создатель браузера Firefox, постоянно борется с подобными атаками и регулярно удаляет мошеннические расширения, однако злоумышленники продолжают находить обходные пути и создавать новые версии своих продуктов.
В официальных заявлениях представители компании признают эту ситуацию «постоянной игрой в кошки-мышки», где необходимо непрерывно совершенствовать системы обнаружения и проверки расширений. В ответ на инциденты была усилена модерация магазина дополнений, внедрены более строгие алгоритмы автоматического анализа кода и ручного контроля, а также улучшены процессы реагирования на жалобы пользователей и исследователей. Вредоносные расширения FoxyWallet представляют собой серьезную угрозу для пользователей, особенно для тех, кто недавно начал работать с криптовалютами и не имеет достаточного опыта в кибербезопасности. Они создают ложное чувство безопасности благодаря своей идентичности и функциональной близости к настоящим кошелькам, что значительно увеличивает вероятность того, что жертвы вводят туда свои приватные данные и не подозревают об опасности. Поддельные расширения распространяются под разными названиями и идентификационными данными, зачастую используя хорошо известные бренды, чтобы обмануть как обывателей, так и продвинутых пользователей.
Чтобы снизить риск стать жертвой подобных атак, рекомендуется использовать только официальные и проверенные расширения, загруженные напрямую с сайта разработчиков или из надёжных репозиториев. Важно обращать внимание на отзывы, рейтинг и продолжительность присутствия расширения в магазине. Не стоит забывать о настройках браузера: использование белых списков помогающих установить расширения только от доверенных источников, а также регулярное обновление антивирусных программ и сканирование системы поможет обнаружить и своевременно удалить вредоносное ПО. Практически все крупные криптокошельки публикуют свои расширения с цифровыми подписями или через собственные официальные каналы распространения. Крайне важно сверять сведения о разработчике и внимательно читать описания расширений.
Никогда не вводите seed-фразы или приватные ключи в расширения, вызывающие подозрения, или неизвестные источники. Подлинные кошельки не требуют ввода этих данных вплотную к браузеру вне официальных интерфейсов и никогда не просят делиться секретной информацией через сторонние системы. Кроме того, пользователям стоит использовать двухфакторную аутентификацию (2FA) и аппаратные кошельки, которые обеспечивают дополнительный уровень безопасности при работе с криптовалютами. Аппаратные устройства значительно усложняют задачу для злоумышленников, так как приватные ключи хранятся только на физических носителях и не покидают их. Стоит также отметить, что кампания FoxyWallet, вероятно, была связана с русскоязычными хакерами, о чем свидетельствуют комментарии на русском языке внутри кода заболеваний, а также метаданные файлов, найденных на управляющих серверах.
Это подчеркивает международный характер угрозы и важность сотрудничества между компаниями, государственными структурами и экспертами в области кибербезопасности для эффективного противодействия таким мошенническим схемам. Проблема поддельных криптовалютных расширений для браузеров выходит далеко за рамки Firefox и встречается и в других популярных браузерах. Однако Mozilla благодаря активной политике модерирования и открытости к сотрудничеству с исследователями безопасности смогла оперативно выявлять и удалять часть вредоносных дополнений. Это подвигло злоумышленников искать новые способы обхода защитных мер и повышать изощренность своих атак. Ситуация с FoxyWallet подчеркивает необходимость повышения цифровой грамотности среди пользователей криптовалют.
Обучение практике безопасности при установке расширений, тщательная проверка источников и внимательное отношение к собственным данным являются ключевыми компонентами защиты финансовых активов в современном онлайн-мире. Широкое распространение децентрализованных технологий и рост популярности криптовалют требуют и возросшего внимания к безопасности на всех уровнях. В заключение, каждый пользователь, работающий с криптовалютами через браузер, должен понимать, что расширения — это полноценные программы, которые могут содержать скрытые угрозы. Бдительность, использование официальных источников, регулярное обновление программного обеспечения, а также наличие надежных защитных инструментов позволяют значительно снизить риски потери средств и сохранить контроль над своими криптокошельками. Бороться с мошенничеством можно только совместными усилиями — разработчиков, пользователей и специалистов по безопасности.
Оставайтесь информированными и осторожными, чтобы не стать следующей жертвой подобных кибератак.
