サイバーセキュリティ研究者は、ユーザーのデジタル資産を危険にさらす暗号通貨ウォレットの秘密情報を盗むことを目的とした、40以上の悪意あるMozilla Firefox用ブラウザー拡張機能を発見しました。
「これらの拡張機能は、Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet、Filfoxなど、広く利用されているプラットフォームの正規ウォレットツールになりすましています」とKoi Securityの研究者Yuval Ronenは述べています。
この大規模なキャンペーンは少なくとも2025年4月から継続しているとされており、先週にも新たな拡張機能がFirefoxアドオンストアにアップロードされました。
特定された拡張機能は、その人気を人工的に高めるため、実際のアクティブインストール数を大きく上回る数百件の5つ星レビューを追加していることが判明しています。この戦略は、広く利用されているかのような信頼性を装い、疑いを持たないユーザーを騙してインストールさせるために用いられています。
脅威アクターが信頼性を高めるために採用したもう一つの手法は、これらのアドオンを正規のウォレットツールとして見せかけ、同じ名前やロゴを使用することです。
実際の拡張機能の一部がオープンソースであったため、攻撃者はそのソースコードをクローンし、自身の悪意ある機能を注入して、対象ウェブサイトからウォレットキーやシードフレーズを抽出し、遠隔サーバーに送信できるようにしました。悪質な拡張機能は、被害者の外部IPアドレスも送信していることが判明しています。
偽のウェブサイトやメールに頼る典型的なフィッシング詐欺とは異なり、これらの拡張機能はユーザーのブラウザ内で動作するため、従来のエンドポイントツールでは検出やブロックがはるかに困難です。
「この手間のかからないが影響の大きい手法により、攻撃者はユーザーが期待する体験を維持しつつ、即座に検出されるリスクを減らすことができました」とRonen氏は述べています。
ソースコード内にロシア語のコメントが存在することや、この活動に使用されたコマンド&コントロール(C2)サーバーから取得されたPDFファイルのメタデータから、ロシア語話者の脅威アクターグループが関与していることが示唆されています。
特定されたアドオンのうちMyMonero Walletを除くすべてが、現在Mozillaによって削除されています。先月、ブラウザ開発元は発表し、詐欺的な暗号通貨ウォレット拡張機能がユーザーの間で人気を得て資産を盗む前に検出・ブロックする「早期検出システム」を開発したと述べています。
このような脅威によるリスクを軽減するためには、検証済みの発行元からのみ拡張機能をインストールし、インストール後にこっそり挙動が変わらないかを確認することが推奨されています。
翻訳元: https://thehackernews.com/2025/07/over-40-malicious-firefox-extensions.html