「GreedyBear」と名付けられた悪意のあるキャンペーンがMozillaのアドオンストアに忍び込み、Firefoxユーザーを標的に150件の悪質な拡張機能を仕掛け、無防備な被害者から推定100万ドルを盗み取っています。
Koi Securityによって発見・記録されたこのキャンペーンは、MetaMask、TronLink、Rabbyなどの有名なプラットフォームの暗号資産ウォレット拡張機能を装っています。
これらの拡張機能は最初は無害な形でアップロードされ、Firefoxに承認されると偽の好意的なレビューを集めます。
後の段階で、発行者は元のブランドを削除し、新しい名前やロゴに差し替えるとともに、ユーザーのウォレット認証情報やIPアドレスを盗む悪意のあるコードを注入します。
出典: Koi Security
悪意のあるコードはキーロガーとして機能し、フォームフィールドや表示されたポップアップ内での入力を記録し、それらを攻撃者のサーバーに送信します。
「武器化された拡張機能は、拡張機能自身のポップアップインターフェース内のユーザー入力フィールドからウォレット認証情報を直接取得し、それらをグループが管理するリモートサーバーに流出させます」とKoi SecurityのTuval Admoni氏は説明しています。
「初期化時には、被害者の外部IPアドレスも送信されており、おそらく追跡やターゲティングの目的と思われます。」
この暗号資産抜き取り作戦は、500種類のマルウェア実行ファイルの配布を助長するロシア語の海賊版ソフトウェアサイト数十件や、Trezor、Jupiter Wallet、偽のウォレット修復サービスを装ったウェブサイトのネットワークによって補完されています。
マルウェアの場合、ペイロードには汎用トロイの木馬、情報窃取型マルウェア(LummaStealer)、さらにはランサムウェアも含まれています。
これらすべてのサイトは同じIPアドレス(185.208.156.66)にリンクしており、GreedyBear作戦のコマンド&コントロール(C2)ハブとして機能しています。
出典: Koi Security
Koi Securityはこの発見をMozillaに報告し、問題の拡張機能はFirefoxのアドオンストアから削除されました。
しかし、その大規模さと実行の容易さは、AIがサイバー犯罪者の大規模なスキーム作成や、完全な摘発からの迅速な回復をどれほど助けているかを示しています。
「キャンペーンのコード分析から、AI生成の痕跡が明確に見られます」とレポートは説明しています。
「これにより、攻撃者はこれまで以上に迅速かつ容易に作戦を拡大し、ペイロードを多様化し、検知を回避できるようになっています。」
Firefoxストアに対する前回の大規模攻撃は先月発生しており、Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMoneroのウォレットを装った40件以上の偽拡張機能が関与していました。
Mozillaが2025年6月に暗号資産抜き取りアドオン検出システムを導入したにもかかわらず、これらの詐欺拡張機能が依然としてFirefoxストアに入り込んでいる点は注目に値します。
Koi Securityはまた、GreedyBearの運営者がChromeウェブストアへの拡大も模索している兆候を確認しており、同じデータ窃取ロジックと同じIPアドレスを使う悪質なChrome拡張機能「Filecoin Wallet」もすでに発見しています。
これらの脅威から身を守るためには、アドオンをインストールする前に必ず複数のユーザーレビューを読み、拡張機能や発行者の詳細を確認してください。
公式のウォレット拡張機能は、各プロジェクトの公式ウェブサイトで直接提供されているか、正規のオンラインストア上のアドオンへのリンクが掲載されています。
BleepingComputerはMozillaおよびGoogleにこのキャンペーンとユーザー保護への取り組みについて問い合わせており、回答があり次第この記事を更新します。
