Home » Лента » Firefox: Как злоумышленники похитили $1 млн через вредоносные расширения
Лента

Firefox: Как злоумышленники похитили $1 млн через вредоносные расширения

coin
10.08.2025
firefox

Пользователи браузера Firefox стали жертвами масштабной мошеннической схемы, в результате которой злоумышленники похитили около $1 млн в криптовалюте. Атака, получившая название GreedyBear, была реализована через более чем 150 вредоносных расширений, размещенных в официальном магазине Mozilla. По данным экспертов Koi Security, злоумышленники успешно обходили модерацию, маскируя вредоносный код под легитимные криптокошельки, такие как MetaMask, TronLink и Rabby.

Koi Security

Механизм атаки на Firefox: как работала схема GreedyBear

Кампания GreedyBear отличалась продуманной многоэтапной тактикой, что позволило злоумышленникам долгое время оставаться незамеченными.

  1. Первоначальная загрузка «чистых» расширений
    На первом этапе злоумышленники загружали в магазин Firefox безопасные версии расширений, которые успешно проходили проверку модераторов. После публикации они накручивали фальшивые положительные отзывы, чтобы повысить доверие пользователей.
  2. Внедрение вредоносного кода
    Как только расширения получали достаточное количество установок, злоумышленники обновляли их, добавляя вредоносный функционал. При этом менялись названия и логотипы, чтобы расширения выглядели как популярные криптокошельки.
  3. Кража данных пользователей
    По словам Тувала Адмони, эксперта Koi Security, вредоносные расширения действовали по нескольким направлениям:
    • Перехват данных из всплывающих окон браузера и их отправка на удаленные серверы.
    • Кейлоггинг (запись нажатий клавиш) для кражи паролей и seed-фраз кошельков.
    • Скриптинг полей ввода для прямого похищения криптовалютных активов.
    • Сбор IP-адресов жертв для дальнейших атак.

Масштабы кампании и методы маскировки

Помимо зараженных расширений, кампания GreedyBear сопровождалась разветвленной инфраструктурой, включающей:

  • Десятки русскоязычных сайтов с пиратским ПО, распространявших более 500 вредоносных исполняемых файлов.
  • Фейковые веб-страницы, имитирующие официальные сервисы, такие как Trezor, Jupiter Wallet, а также сайты, предлагающие «восстановление» криптокошельков.

Эксперты также обнаружили, что часть вредоносного кода была сгенерирована при помощи ИИ, что позволило злоумышленникам:

  • Быстро масштабировать атаку, создавая новые вариации вредоносов.
  • Эффективнее маскировать вредоносные нагрузки, усложняя их детектирование.
  • Восстанавливать удаленные расширения, оперативно загружая их под новыми именами.

Реакция Mozilla и текущая ситуация

На момент публикации данных все фейковые расширения были удалены из официального магазина Firefox. Однако эксперты предупреждают, что подобные атаки могут повториться, учитывая использование автоматизированных инструментов и ИИ для создания вредоносного кода.

Рекомендации по безопасности

Чтобы минимизировать риски, пользователям криптокошельков следует:

  1. Устанавливать расширения только с официальных сайтов (например, MetaMask — с metamask.io).
  2. Проверять отзывы и историю обновлений перед установкой.
  3. Использовать аппаратные кошельки (Trezor, Ledger) для хранения крупных сумм.
  4. Отключать неиспользуемые расширения и регулярно проверять список установленных.

Атака GreedyBear в очередной раз демонстрирует, что даже официальные магазины расширений не гарантируют полную безопасность.

Последствия атаки и перспективы борьбы с подобными угрозами

Атака GreedyBear наглядно продемонстрировала уязвимость даже проверенных платформ, таких как официальный магазин расширений Firefox. Хотя Mozilla оперативно удалила вредоносные дополнения, последствия кампании остаются значительными: помимо прямых финансовых потерь, инцидент подорвал доверие пользователей к безопасности браузерных расширений. По данным аналитиков, подобные схемы становятся все более изощренными благодаря использованию автоматизированных инструментов и генеративного ИИ, что позволяет злоумышленникам быстро адаптироваться к мерам защиты.

Эксперты отмечают, что традиционные методы модерации, основанные на статическом анализе кода, уже не справляются с динамически изменяющимися угрозами. В качестве решения предлагается внедрение поведенческого анализа расширений в реальном времени, а также ужесточение политики проверки разработчиков. Однако даже эти меры не гарантируют полной защиты, поскольку мошенники продолжают находить новые способы обхода систем безопасности, включая компрометацию аккаунтов доверенных разработчиков. В долгосрочной перспективе борьба с подобными угрозами потребует координации между браузерными компаниями, криптовалютными сервисами и кибербезопасностными организациями для создания единого механизма оперативного обнаружения и блокировки вредоносных расширений.

Пока же основная ответственность лежит на пользователях, которым необходимо проявлять повышенную бдительность при установке любых дополнений, связанных с криптовалютами.

Также читайте: Криптовалюта пользователей TikTok в опасности из-за 5000 вредоносных программ

Теги:

Похожие статьи

Читайте прогнозы кризиса, свежую аналитику, о майнинге, DeFi и NFTа также новости криптовалют и Web3-технологий. Читайте COIN PULS, не пропустите главное!

COIN PULS
Logo