Nếu Bạn Có Tiền điện tử và Sử Dụng Firefox, Hacker đang Nhắm Đến Bạn

Công ty an ninh mạng Koi Security đã phát hiện một chiến dịch độc hại quy mô lớn nhắm vào người dùng tiền điện tử thông qua các tiện ích mở rộng giả mạo của Firefox.

Chiến dịch này liên quan đến hơn 40 tiện ích mở rộng giả mạo các công cụ ví tiền điện tử được sử dụng rộng rãi.

Điều này bao gồm Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet, và Filfox. Sau khi được cài đặt, những tiện ích mở rộng này âm thầm đánh cắp thông tin đăng nhập ví và gửi chúng đến các máy chủ do kẻ tấn công kiểm soát, đặt tài sản của người dùng vào nguy cơ ngay lập tức.

Người dùng Crypto có nguy cơ

Trong bài đăng mới nhất, Koi Security tiết lộ rằng chiến dịch đã hoạt động ít nhất từ tháng 4 năm 2025. Thực tế, những tải lên gian lận mới đã xuất hiện trên cửa hàng Tiện ích mở rộng của Mozilla gần đây nhất là vào tuần trước, điều này cho thấy hoạt động này đang diễn ra, thích ứng và bền bỉ.

Các tiện ích mở rộng này truyền địa chỉ IP bên ngoài của nạn nhân trong quá trình khởi tạo, có khả năng để theo dõi hoặc nhắm mục tiêu, trong khi lấy bí mật ví trực tiếp từ các trang web bị nhắm mục tiêu. Bằng cách sao chép đánh giá, nhận xét và thương hiệu, những kẻ tấn công làm cho các tiện ích mở rộng của họ trông đáng tin cậy, điều này cuối cùng dẫn đến nhiều người dùng hơn tải xuống chúng.

Nhiều tiện ích mở rộng giả mạo đã có hàng trăm đánh giá tích cực giả, vượt quá số lượng người dùng thực tế của họ, điều này cho phép chúng xuất hiện như được sử dụng rộng rãi và có uy tín trong hệ sinh thái Tiện ích mở rộng của Mozilla.

Trong một số trường hợp, kẻ tấn công được phát hiện đã sao chép các tiện ích mở rộng ví nguồn mở thực và nhúng logic độc hại trong khi vẫn duy trì chức năng mong đợi. Điều này được thực hiện để tránh bị phát hiện và đảm bảo trải nghiệm người dùng liền mạch, một chiến thuật cho phép tiếp tục đánh cắp thông tin đăng nhập mà không gây nghi ngờ.

Cuộc điều tra của Koi Security đã theo dõi cơ sở hạ tầng và chiến thuật, kỹ thuật, và quy trình (TTPs) mà chiến dịch này chia sẻ trên các tiện ích mở rộng và tiết lộ một hoạt động phối hợp tập trung vào việc thu thập thông tin xác thực và theo dõi người dùng trong hệ sinh thái crypto. Họ khuyến cáo người dùng Firefox ngay lập tức xem lại các tiện ích mở rộng đã cài đặt, gỡ bỏ các công cụ nghi ngờ và thay đổi thông tin xác thực ví khi có thể.

Công ty cũng cho biết rằng họ đang tích cực hợp tác với Mozilla để loại bỏ các tiện ích độc hại đã được xác định và để theo dõi các tải lên khác liên quan đến chiến dịch này.

Manh mối Nga trong mã chiến dịch

Bằng chứng cho thấy một nhóm đe dọa nói tiếng Nga có thể đứng sau chiến dịch này. Koi Security tuyên bố đã tìm thấy các ghi chú bằng tiếng Nga ẩn trong mã của phần mở rộng và siêu dữ liệu từ một PDF trên máy chủ điều khiển hiển thị văn bản tiếng Nga.

Những gợi ý này không phải là bằng chứng cuối cùng nhưng chỉ ra một diễn viên tiếng Nga có thể đang điều hành hoạt động.

Báo cáo mới nhất xuất hiện nhiều tháng sau khi một vụ lừa đảo tiền mã hóa có liên kết với Nga, sử dụng các liên kết cuộc họp giả mạo Zoom để đánh cắp hàng triệu đô la, được SlowMist phát hiện. Công ty bảo mật blockchain đã theo dõi hoạt động của phần mềm độc hại đến một máy chủ ở Hà Lan nhưng phát hiện các kịch bản tiếng Nga trong các công cụ của kẻ tấn công, điều này cho thấy có thể có các đối tượng nói tiếng Nga tham gia. Những kẻ tấn công đã rút tiền từ ví và chuyển đổi tài sản bị đánh cắp thành ETH trên các sàn giao dịch lớn.