TokyoBlackHatNews

koi.ai 4分で読了

FoxyWallet:40件以上の悪意あるFirefox拡張機能が露見

暗号資産ウォレットの認証情報を盗むことを目的とした、偽のFirefox拡張機能が多数関与する大規模な悪意あるキャンペーンが発覚しました。これらの拡張機能は、Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet、およびFilfoxといった広く利用されているプラットフォームの正規ウォレットツールになりすましています。インストールされると、悪意ある拡張機能はウォレットのシークレットを密かに流出させ、ユーザー資産を即座に危険にさらします。これまでに本キャンペーンに関連する40種類以上の拡張機能を特定できており、現在も継続中で非常に活発です――一部の拡張機能はまだマーケットプレイスで入手可能です。この関連付けは、共通するTTP(戦術・技術・手順)とインフラを丹念に突き止める綿密な取り組みによって行われました。

本キャンペーンは少なくとも2025年4月以降、活動していることを確認しています。新たな悪意ある拡張機能は、Firefox Add-onsストアに先週という最近にもアップロードされました。アップロードが継続していることから、このオペレーションが依然として稼働中で、持続的かつ進化していることが示唆されます。

これらの拡張機能は、標的となるWebサイトからウォレットの認証情報を直接抽出し、攻撃者が管理するリモートサーバーへ送信します。初期化時には、被害者の外部IPアドレスも送信しており、追跡やターゲティング目的である可能性が高いです。

信頼を築く方法

このキャンペーンは、評価、レビュー、ブランディング、機能性といった一般的なマーケットプレイスの信頼メカニズムを悪用し、ユーザーの信頼を獲得してインストール率を高めています。

中核となる戦術の一つはレビューの水増しです。多くの悪意ある拡張機能には、実際のユーザーベースを大きく上回る数百件の偽の★5レビューが付いていました。この手口により、拡張機能が広く採用され高評価を得ているように見え、Mozilla Add-onsストアのようなプラットフォームでユーザーの信頼を得るうえで重要な要素となります。

Firefox Add-onsストアにおける拡張機能のレビュー

脅威アクターは、正規のウォレットツールのブランディングを巧妙に模倣し、なりすました実在サービスと同一の名称とロゴを使用していました。この視覚的な類似性により、警戒心の薄いユーザーが誤ってインストールしてしまう可能性が高まります。

いくつかのケースでは、公式拡張機能がオープンソースである点を悪用していました。彼らは実際のコードベースを複製し、独自の悪意あるロジックを挿入することで、表向きは期待どおりに動作しつつ、裏で機微なデータを盗む拡張機能を作成しました。この低労力・高効果のアプローチにより、想定されるユーザー体験を維持しながら、即時検知の可能性を下げることができました。

アトリビューション

帰属(アトリビューション)は暫定的ではあるものの、複数のシグナルがロシア語話者の脅威アクターを示唆しています。具体的には以下のとおりです。

  • 拡張機能コード内に埋め込まれたロシア語のコメント
  • オペレーションで使用されたC2(コマンド&コントロール)サーバーから取得したPDFファイル内で見つかったメタデータ

決定的ではないものの、これらの痕跡は、本キャンペーンがロシア語話者の脅威アクター集団に由来する可能性を示しています。

推奨事項

  • 検証済みの発行元からのみ拡張機能をインストールし、高評価の掲載であっても注意してください。
  • ブラウザ拡張機能を完全なソフトウェア資産として扱い – 審査、監視、ポリシー適用の対象としてください。
  • 拡張機能の許可リストを使用し、事前承認・検証済みの拡張機能のみにインストールを制限してください。
  • 継続的な監視を実装し、単発のスキャンだけで終わらせないでください。拡張機能は自動更新され、インストール後に挙動が密かに変わる可能性があります。

本稿は、Koi Securityのリサーチチームが、健全な疑念と、より安全なオープンソース・エコシステムへの希望を込めて執筆しました。

長らく、最高権限で動作することも多い信頼できないサードパーティコードの利用は、企業側にとっても攻撃者側にとっても見過ごされてきました。その時代は終わりつつあります。潮目が変わっています。

私たちはこの局面に応えるためにKoiを構築しました。実務者にも企業にも。私たちのプラットフォームは、Firefox、Chrome Web Store、VSCode、Hugging Face、Homebrew、GitHubなど、そしてそれ以外のマーケットプレイスからチームが取得するあらゆるものを発見・評価・統制するのに役立ちます。

Fortune 50企業、BFSI(銀行・金融サービス・保険)および世界最大級のテック企業の一部に信頼されているKoiは、この広大な攻撃対象領域全体で可視性を獲得し、ガバナンスを確立し、リスクを能動的に低減するために必要なセキュリティプロセスを自動化します。

当社のソリューションに興味がある方、または行動を起こす準備ができている方は、デモを予約するか、こちらからご連絡ください 🤙

近いうちに、まだいくつか驚きの発表も控えています。続報をお待ちください。

IOC

Firefox拡張機能名:

ドメイン:

翻訳元: https://www.koi.ai/blog/foxywallet-40-malicious-firefox-extensions-exposed

ソース: koi.ai
#C2サーバー #Firefox Add-ons #Firefox拡張機能 #フィッシング/なりすまし #ロシア語圏脅威アクター #偽レビュー #悪意ある拡張機能 #拡張機能ガバナンス #暗号資産ウォレット #認証情報窃取

関連記事

Claudeがサイバー兵器となるときAI軍拡競争が始まった

野生の最初の悪意あるMCP:あなたのメールを盗んでいるPostmarkバックドア

目に見えないコードを使用した初の自己増殖ワーム、OpenVSXマーケットプレイスを襲う