Jika Anda Memiliki Kripto dan Menggunakan Firefox, Hacker sedang Menargetkan Anda

Perusahaan keamanan siber Koi Security telah mengungkapkan kampanye jahat berskala besar yang menargetkan pengguna cryptocurrency melalui ekstensi Firefox palsu.

Kampanye ini melibatkan lebih dari 40 ekstensi yang menyamar sebagai alat dompet kripto yang banyak digunakan.

Ini termasuk Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet, dan Filfox. Setelah diinstal, ekstensi ini diam-diam mencuri kredensial dompet dan mengeluarkannya ke server yang dikendalikan oleh penyerang, menempatkan aset pengguna dalam risiko segera.

Pengguna Crypto Dalam Bahaya

Dalam postingan terbarunya, Koi Security mengungkapkan bahwa kampanye ini telah aktif setidaknya sejak April 2025. Faktanya, unggahan penipuan baru muncul di toko Add-ons Mozilla baru-baru ini, yang menunjukkan bahwa operasi ini sedang berlangsung, adaptif, dan gigih.

Ekstensi ini mentransmisikan alamat IP eksternal korban selama inisialisasi, kemungkinan untuk pelacakan atau penargetan, sambil mengekstrak rahasia dompet langsung dari situs yang ditargetkan. Dengan menyalin peringkat, ulasan, dan merek, para penyerang membuat ekstensi mereka terlihat dapat dipercaya, yang pada akhirnya membuat lebih banyak pengguna mengunduhnya.

Banyak dari ekstensi palsu tersebut memiliki ratusan ulasan positif palsu, melebihi jumlah pengguna sebenarnya, yang memungkinkan mereka terlihat banyak digunakan dan terpercaya dalam ekosistem Add-ons Mozilla.

Dalam beberapa kasus, penyerang ditemukan telah mengkloning ekstensi dompet sumber terbuka yang nyata dan menyematkan logika jahat sambil mempertahankan fungsionalitas yang diharapkan. Ini dilakukan untuk menghindari deteksi dan memastikan pengalaman pengguna yang mulus, suatu taktik yang memungkinkan pencurian kredensial terus berlanjut tanpa menimbulkan kecurigaan.

Penyelidikan Koi Security melacak infrastruktur dan taktik, teknik, serta prosedur (TTPs) yang dibagikan dalam kampanye tersebut di seluruh ekstensi dan mengungkapkan operasi terkoordinasi yang berfokus pada pengumpulan kredensial dan pelacakan pengguna di dalam ekosistem kripto. Mereka mendesak pengguna Firefox untuk segera meninjau ekstensi yang terpasang, mencopot alat yang mencurigakan, dan mengganti kredensial dompet jika memungkinkan.

Perusahaan juga mengatakan bahwa mereka secara aktif berkolaborasi dengan Mozilla untuk menghapus ekstensi berbahaya yang teridentifikasi dan untuk memantau unggahan lebih lanjut yang terkait dengan kampanye ini.

Petunjuk Rusia dalam Kode Kampanye

Bukti menunjukkan bahwa sebuah kelompok ancaman berbahasa Rusia mungkin berada di balik kampanye tersebut. Koi Security mengklaim telah menemukan catatan berbahasa Rusia yang tersembunyi dalam kode ekstensi dan metadata dari sebuah PDF di server kontrol yang menunjukkan teks berbahasa Rusia.

Petunjuk-petunjuk ini bukanlah bukti final tetapi menunjukkan kemungkinan adanya aktor berbahasa Rusia yang menjalankan operasi tersebut.

Laporan terbaru muncul beberapa bulan setelah scam phishing kripto yang diduga terkait dengan Rusia menggunakan tautan rapat Zoom palsu untuk mencuri jutaan terdeteksi oleh SlowMist. Perusahaan keamanan blockchain tersebut melacak aktivitas malware ke server di Belanda tetapi menemukan skrip berbahasa Rusia dalam alat para penyerang, yang menunjukkan kemungkinan adanya operator berbahasa Rusia. Para penyerang menguras dompet dan mengonversi aset yang dicuri menjadi ETH di berbagai bursa utama.