В современном мире популяризация криптовалют сопровождается не только ростом числа пользователей и транзакций, но и усилением активности злоумышленников, которые стремятся украсть цифровые активы. Одной из последних угроз стала масштабная кампания, нацеленная на пользователей браузера Mozilla Firefox. В ходе этого мошеннического исследования злоумышленники создали более 40 поддельных расширений, маскирующихся под популярные криптокошельки, такие как MetaMask, Coinbase, Trust Wallet, Phantom и другие с целью кражи учетных данных и доступа к кошелькам. По информации от компании по кибербезопасности Koi Security, которая опубликовала подробный отчет в июле 2025 года, кампания активна с апреля и продолжает набирать обороты, регулярно появляясь на официальном магазине расширений Firefox и нацеливаясь на доверчивых пользователей. Основной механизм атаки состоит в том, что мошенники клонируют оригинальные расширения популярных криптокошельков, используя открытый исходный код, добавляя вредоносный модуль, который автоматически собирает конфиденциальную информацию пользователей — в частности, приватные ключи, пароли и фразы для восстановления.
После установки расширения жертва продолжает пользоваться интерфейсом и функциональностью, ожидая стандартного пользовательского опыта, в то время как вредоносный код работает в фоновой режиме, отправляя данные на удаленный сервер, контролируемый хакерами. Этот подход позволяет сохранять иллюзию легитимного приложения, снижая риск раннего обнаружения и удаления. Анализ отзывов и рейтингов в официальном магазине расширений Firefox показывает, что злоумышленники активно используют фальшивые положительные отклики для повышения доверия. Некоторые поддельные расширения получили сотни «пятизвездочных» отзывов, что создает ложное впечатление надежности и популярности среди пользователей. Более того, имена и логотипы клонированных приложений практически неотличимы от оригиналов, что делает сомнительную идентификацию даже для внимательных пользователей.
По мнению экспертов из Koi Security, кампания, вероятно, организована группой русскоязычных хакеров. Аргументом в пользу этой версии служат находки в исходном коде вредоносных расширений — такие как комментарии на русском языке, а также метаданные, извлеченные из PDF-файла, связанного с командным сервером управления вредоносным ПО. Хотя точная атрибуция пока не окончательна, эти косвенные улики указывают на источник из русскоязычного киберпреступного сообщества. Для пользователей криптовалют чрезвычайно важно понимать риски, связанные с установкой расширений для браузеров, особенно тех, что обещают удобное управление кошельками и транзакциями. Рекомендации специалистов по безопасности включают установку приложений исключительно из проверенных источников и от надежных издателей.
Необходимо критически относиться к отзывам, оценкам и количеству загрузок расширений, а также регулярно проверять разрешения, запрашиваемые плагинами. Помимо осторожного выбора расширений, важно рассматривать такие плагины как полноценное программное обеспечение и применять методы контроля, например, использование белых списков (allowlists), которые предоставляют доступ только к проверенным и известным приложениям. Также рекомендуется следить за обновлениями расширений и оценивать их поведение на предмет подозрительных активностей, таких как сбор и передача данных без очевидной необходимости. На фоне продолжающихся атак на криптовалютных пользователей происходит активное совершенствование защитных мер и появление решений, позволяющих минимизировать ущерб. Некоторые браузеры и антивирусные программы уже начали интегрировать модули, способные выявлять и блокировать вредоносные расширения.
Кроме того, эксперты советуют периодически менять пароли и использовать аппаратные кошельки для хранения ключей, что значительно усложняет работу хакерам. Инцидент с поддельными расширениями для Firefox ярко демонстрирует, как киберпреступники манипулируют доверием пользователей и эксплуатируют популярность криптоиндустрии для получения незаконного дохода. Учитывая глобальное распространение таких атак и их многоступенчатую сложность, роль информационной грамотности и соблюдения базовой цифровой гигиены становится критической для защиты персональных средств. Рассматривая дальнейшее развитие ситуации, важно отметить, что рост числа подобных кампаний может спровоцировать ужесточение требований к разработчикам расширений и более пристальное внимание со стороны платформ типа Mozilla и других браузеров для фильтрации и блокировки мошеннических плагинов. Это создаст дополнительные барьеры для злоумышленников и повысит общий уровень безопасности экосистемы криптовалют.
Для конечных пользователей ключевым остается подход, при котором осторожность и бдительность существенно снижают риск стать жертвой мошеннических схем. Не стоит гнаться за удобством ценой безопасности, необходимо всегда проводить проверку, анализировать источники и использовать многофакторную аутентификацию там, где это возможно. Поддержка этой практики на всех уровнях — от разработчиков и платформ до отдельных юзеров — позволит противостоять современным киберугрозам и сохранить сохранность цифровых активов. В итоге кампания с использованием фальшивых расширений Mozilla Firefox является наглядным примером того, как мошенники умело используют механизмы доверия, чтобы похищать криптовалюту. Обнаружение более 40 таких расширений отражает масштабы и опасность операции.
Для всех участников криптосообщества важно не только знать о подобных угрозах, но и активно применять меры защиты, сохраняя осознанность при выборе инструментов, способствующих безопасности и сохранности цифровых средств.
