A kriptósokat kifosztó bővítménycunami letarolta a Firefoxot

A Mozilla Firefox áruházába 150 rosszindulatú bővítmény szivárgott be egy GreedyBear nevű akció keretében, amely során közel 370 millió forintot (1 millió USD) loptak el mit sem sejtő felhasználóktól. Ezek az ártalmas bővítmények népszerű kriptopénztárcák – például MetaMask, TronLink, Rabby – hivatalos moduljainak álcázzák magukat, és kezdetben teljesen ártalmatlannak tűntek, hogy átmenjenek a Firefox ellenőrzésén. Pozitív visszajelzésekhez hamis értékeléseket generáltak, majd idővel lecserélték a logókat és neveket, beépítették a káros kódokat, amelyek ellopják a pénztárca-azonosítókat és az IP-címet is.

Így működik a támadás

A kártékony szoftverek valójában billentyűleütés-figyelők: minden, a bővítmény felületén vagy űrlapon beírt adatot rögzítenek, akár előugró ablakban is. A begépelt információk – köztük a privát kulcsok – automatikusan egy távoli szerverre jutnak. A támadók már a bővítmény inicializálásakor továbbítják az IP-címet is, valószínűleg célzott támadások vagy követés céljából.

Orosz féllegális oldalakról is támadnak

A bővítményes adathalászatot orosz nyelvű szoftverkalóz oldalak is támogatják, amelyek 500 különféle vírust – például trójait, infolopókat (mint a LummaStealer), vagy zsarolóprogramokat – terjesztenek. Emellett egy teljes hamis webhálózat szolgálja ki a csalást a Trezor, Jupiter Wallet és ál-javítószolgálatok nevében. Minden érintett oldal ugyanahhoz az IP-címhez kapcsolódik (185.208.156.66), amely a GreedyBear központja.

Az MI is besegített a bűnözőknek

A gyanús kódokat elemzők szerint jól felismerhetők az MI-vel generált részletek: a folyamat egyszerűbb és gyorsabb, könnyű kibővíteni vagy újrafeltölteni, ha le is tiltanák őket. Bár a Mozilla eltávolította az ismert káros modulokat, a módszer sikerességét mutatja, hogy akár teljes tisztítás után is újraéled az egész rendszer – ráadásul már a Chrome Webáruházban (Chrome Web Store) is felbukkant GreedyBear-féle bővítmény (például Filecoin Tárca (Filecoin Wallet)).

Így lehet elkerülni a csaló bővítményeket

Érdemes mindig több értékelést elolvasni, ellenőrizni a kiadókat, és kizárólag a hivatalos weboldalakról vagy azok online áruházba mutató oldalairól telepíteni a kriptotárcákat. Az előző nagy hullám során 40 hasonló bővítmény került be a Firefox áruházba (Firefox Store), holott a Mozilla korábban is próbálkozott ezek szűrésével, mégsem sikerült teljesen kiszűrnie őket.

2025, adrienne, www.bleepingcomputer.com alapján