إذا كان لديك مجال العملات الرقمية وتستخدم فايرفوكس، فإن الهاكر يستهدفونك

اكتشفت شركة الأمن السيبراني كوي سيكيورتي حملة خبيثة واسعة النطاق تستهدف مستخدمي العملات المشفرة من خلال إضافات مزيفة لمتصفح فايرفوكس.

تشمل الحملة أكثر من 40 ملحقًا تتظاهر بأنها أدوات محفظة تشفير مستخدمة على نطاق واسع.

يشمل ذلك Coinbase و MetaMask و Trust Wallet و Phantom و Exodus و OKX و Keplr و MyMonero و Bitget و Leap و Ethereum Wallet و Filfox. بمجرد تثبيتها، تقوم هذه الإضافات بسرقة بيانات اعتماد المحفظة بهدوء وإرسالها إلى خوادم تتحكم فيها المهاجمون، مما يعرض أصول المستخدمين للخطر الفوري.

مستخدمي العملات المشفرة في خطر

في منشورها الأخير، كشفت Koi Security أن الحملة نشطة منذ أبريل 2025 على الأقل. في الواقع، ظهرت عمليات تحميل احتيالية جديدة على متجر إضافات Mozilla مؤخرًا في الأسبوع الماضي، مما يدل على أن العملية مستمرة وقابلة للتكيف ودائمة.

تقوم هذه الإضافات بنقل عناوين IP الخارجية للضحايا أثناء التهيئة، على الأرجح لأغراض التتبع أو الاستهداف، بينما تستخرج أسرار المحفظة مباشرة من المواقع المستهدفة. من خلال نسخ التقييمات والمراجعات والعلامات التجارية، تجعل الهجمات الإضافات تبدو موثوقة، مما يؤدي في النهاية إلى تحميل المزيد من المستخدمين لها.

حمل العديد من الإضافات المزيفة مئات من المراجعات الإيجابية الوهمية، متجاوزة قاعدة المستخدمين الفعلية الخاصة بها، مما سمح لها بالظهور كما لو كانت معتمدة على نطاق واسع وموثوقة ضمن نظام إضافات موزيلا.

في عدة حالات، وُجد أن المهاجمين قد قاموا باستنساخ ملحقات المحفظة المفتوحة المصدر الحقيقية ودمجوا منطقًا خبيثًا مع الحفاظ على الوظائف المتوقعة. تم القيام بذلك لتجنب الكشف وضمان تجربة مستخدم سلسة، وهي استراتيجية سمحت بالاستمرار في سرقة بيانات الاعتماد دون إثارة الشك.

أظهرت تحقيقات كوي سيكيورتي أن الحملة كانت تتبع البنية التحتية والأساليب والتقنيات والإجراءات المشتركة (TTPs) عبر الامتدادات وكشفت عن عملية منسقة تركزت على جمع بيانات الاعتماد وتتبع المستخدمين داخل نظام التشفير. وناشدت مستخدمي فايرفوكس بمراجعة الامتدادات المثبتة على الفور، وإلغاء تثبيت الأدوات المشبوهة، وتغيير بيانات اعتماد المحفظة حيثما كان ذلك ممكنًا.

وقالت الشركة أيضًا إنها تتعاون بنشاط مع موزيلا لإزالة الملحقات الضارة التي تم تحديدها ومراقبة المزيد من التحميلات المرتبطة بهذه الحملة.

الأدلة الروسية في رمز الحملة

تشير الأدلة إلى أن مجموعة تهديد تتحدث الروسية قد تكون وراء الحملة. زعمت شركة كوي سيكيوريتي أنها وجدت ملاحظات باللغة الروسية مخفية في كود الإضافة وبيانات التعريف من ملف PDF على خادم التحكم الذي يظهر نصاً روسياً.

هذه التلميحات ليست دليلاً نهائياً ولكنها تشير إلى جهة محتملة تتحدث اللغة الروسية تدير العملية.

التقرير الأخير يظهر بعد أشهر من اكتشاف عملية احتيال مرتبطة بروسيا باستخدام روابط زوم مزيفة لسرقة الملايين من قبل SlowMist. تتبعت شركة أمان البلوك تشين نشاط البرمجيات الخبيثة إلى خادم في هولندا لكنها وجدت نصوصًا باللغة الروسية في أدوات المهاجمين، مما يدل على وجود محتمل لعاملين يتحدثون الروسية. قام المهاجمون بتفريغ المحافظ وتحويل الأصول المسروقة إلى ETH عبر بورصات رئيسية.