FoxyWallet:悪意あるFirefox拡張機能40件以上が発覚

暗号資産ウォレットの認証情報を窃取するために設計された、数十件もの偽Firefox拡張機能が関与する大規模な悪意あるキャンペーンが発見されました。これらの拡張機能は、Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum WalletFilfoxといった広く利用されているプラットフォームの正規ウォレットツールになりすましています。インストールされると、これらの悪意ある拡張機能はウォレットの秘密情報を密かに外部へ送信し、利用者の資産を即座にリスクにさらします。これまでのところ、このキャンペーンには40種類以上の異なる拡張機能が関連していることが確認できており、キャンペーンは現在も継続中で活発な状態です。一部の拡張機能は現在もマーケットプレイス上で公開されたままとなっています。この関連付けは、共通のTTP(戦術・技術・手順)とインフラを丹念に洗い出す作業によって行われました。

このキャンペーンは、少なくとも2025年4月から活動していることが確認されています。新たな悪意ある拡張機能は直近の1週間以内にもFirefox Add-onsストアへアップロードされていました。アップロードが継続している事実から、この活動が今なお進行中であり、執拗に、そして手口を変えながら継続していることがうかがえます。

これらの拡張機能は、標的となるウェブサイトから直接ウォレットの認証情報を抽出し、攻撃者が管理するリモートサーバーへ送信します。初期化の際には被害者の外部IPアドレスも送信されており、これは追跡や標的選定の目的である可能性が高いとみられます。

信頼をどう獲得しているか

このキャンペーンは、評価やレビュー、ブランディング、機能性といったマーケットプレイスにおける一般的な信頼の仕組みを悪用し、利用者の信頼を獲得してインストール率を高めています。

用いられている主な手口の一つがレビューの水増しです。悪意ある拡張機能の多くには数百件もの偽の5つ星レビューが付けられており、実際の利用者数をはるかに上回っていました。この手口により、拡張機能は広く採用され高評価を得ているように見せかけられます。これはMozilla Add-onsストアのようなプラットフォームで利用者の信頼を獲得する上での重要な要素です。

脅威アクターは正規ウォレットツールのブランディングを巧妙に模倣し、なりすまし対象の実際のサービスと同一の名称やロゴを使用していました。この視覚的な類似性により、何も知らない利用者が誤ってインストールしてしまう可能性が高まります。

いくつかのケースでは、脅威アクターは正規の拡張機能がオープンソースであるという事実を悪用しました。実際のコードベースを複製した上で独自の悪意あるロジックを埋め込み、通常どおりに動作しながら裏では機密データを窃取する拡張機能を作り上げていたのです。この手間の少なさに反して影響の大きいアプローチにより、攻撃者は想定通りのユーザー体験を維持しつつ、即座に検知される可能性を低く抑えることができました。

攻撃者の特定

攻撃者の特定はまだ暫定的な段階にとどまっていますが、複数の兆候がロシア語圏の脅威アクターを示唆しています。具体的には以下の通りです。

  • 拡張機能のコードに埋め込まれたロシア語のコメント
  • この攻撃で使用されたコマンド&コントロールサーバーから取得したPDFファイルに含まれるメタデータ

決定的な証拠ではないものの、これらの痕跡は、このキャンペーンがロシア語圏の脅威アクターグループに端を発している可能性を示唆しています。

推奨事項

  • 検証済みの発行元による拡張機能のみをインストールし、評価の高いリストであっても油断しないこと
  • ブラウザ拡張機能を完全なソフトウェア資産として扱い、審査・監視・ポリシー適用の対象とすること
  • 拡張機能の許可リストを利用し、事前に承認・検証された拡張機能のみにインストールを制限すること
  • 一度きりのスキャンではなく継続的な監視を実施すること。拡張機能は自動更新され、インストール後に密かに挙動を変える可能性があるため

本レポートは、より安全なオープンソースエコシステムへの願いと健全な警戒心を持って、Koi Securityのリサーチチームが執筆しました。

長きにわたり、多くの場合最高レベルの権限で実行される信頼できないサードパーティ製コードの利用は、企業側にとっても攻撃者側にとっても見過ごされてきました。しかし、その時代は終わりを迎えつつあります。潮目は変わりつつあるのです。

私たちはこの局面に対応するべくKoiを構築しました。実務担当者にも企業にも役立つツールです。当社のプラットフォームは、Firefox、Chrome Web Store、VSCode、Hugging Face、Homebrew、GitHubをはじめとするマーケットプレイスから各チームが取り込むあらゆるものを、発見・評価・統制することを支援します。

Koiはフォーチュン50企業、金融・保険機関、そして世界有数の大手テック企業にも信頼され、この広大な攻撃対象領域全体において可視性の確保、統制の確立、リスクの予防的低減に必要なセキュリティプロセスを自動化しています。

当社のソリューションにご関心がある方、あるいはすぐに行動を起こしたい方は、デモをご予約いただくか、こちらからお気軽にご連絡ください 🤙

さらなる続報も近日中にお届けする予定です、どうぞご期待ください。

IOC(侵害指標)

Firefox extension names:

Domains:

翻訳元: https://www.koi.ai/blog/foxywallet-40-malicious-firefox-extensions-exposed

ソース: koi.ai