数十の偽ウォレットアドオンがFirefoxストアに氾濫、暗号資産を盗難

Firefoxの公式アドオンストアには、40以上の偽拡張機能が信頼できるプロバイダーの人気暗号通貨ウォレットになりすまして出現し、ウォレットの認証情報や機密データを盗み取っています。

これらの拡張機能の中には、Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMoneroのウォレットを装ったものがあり、盗んだ情報を攻撃者が管理するサーバーに送信する悪意のあるコードが含まれています。

Koi Securityの研究者は、これらの危険な拡張機能を発見し、このキャンペーンの背後にロシア語話者の脅威グループがいることを示す証拠も見つけました。

BleepingComputerに共有されたレポートによると、これらのブラウザーアドオンの多くは、正規ウォレットのオープンソース版をクローンし、悪意のあるロジックを追加したものだと研究者は述べています。

Koi Securityは、被害者の機密データ入力を監視する「input」や「click」イベントリスナーのコード例を提示しています。

このコードは、現実的なウォレットキーやシードフレーズをフィルタリングするため、30文字以上の入力文字列をチェックし、データを攻撃者に流出させます。

エラーダイアログは、ユーザーに活動を警告する要素の不透明度をゼロに設定することで、ユーザーから隠されます。

シードフレーズ（リカバリー/ニーモニックフレーズ）は通常複数の単語からなるマスターキーであり、ユーザーがウォレットを新しいデバイスに復元・移行することを可能にします。

誰かのシードフレーズを入手すれば、そのウォレット内の暗号資産をすべて盗むことが可能です。この盗難は正規の取引として表示され、元に戻すことはできません。

このキャンペーンは少なくとも4月から活動しており、新たな拡張機能が継続的にFirefoxストアに追加されているようです。研究者によれば、最新の悪意ある拡張機能は先週追加されたばかりです。

信頼を得るため、脅威アクターは偽装するブランドの本物のロゴを使用し、多くの拡張機能には数百件の偽の5つ星レビューが付いていました。また、一部には詐欺を報告する1つ星レビューも多数あり、これは暗号資産を失ったユーザーによるものと考えられます。

ほとんどのユーザーレビューは明らかに偽造（インストール数をはるかに上回る）ですが、詳細に注意を払わない多くのユーザーは、これらをインストールしてしまい、シードフレーズを盗まれるリスクがあります。

Mozillaは、暗号詐欺拡張機能を検出するための初期の検出システムを開発しました。これは自動化された指標でリスクレベルを評価し、閾値に達した場合は人間のレビュワーが提出物を分析し、悪意があればブロックします。

Koi Securityは、公式の報告ツールを使ってFirefoxストアに発見を報告したとBleepingComputerに伝えましたが、執筆時点でも偽拡張機能は引き続き利用可能です。

BleepingComputerはこの件についてMozillaにコメントを求めましたが、すぐには声明は得られませんでした。