هشدار: دارندگان کریپتو با فایرفاکس طعمه جدید هکرها!

در جدیدترین هشدار منتشر شده توسط شرکت امنیت سایبری Koi Security، از یک کمپین مخرب در مقیاس وسیع پرده‌برداری شده که هدف اصلی آن، کاربران فعال در حوزه رمزارزهاست. این حمله از طریق بیش از ۴۰ افزونه جعلی مرورگر فایرفاکس انجام می‌شود که به گونه‌ای طراحی شده‌اند تا خود را به‌عنوان کیف پول‌های محبوب ارز دیجیتال معرفی کنند.

افزونه‌هایی با چهره‌ای آشنا اما جعلی

مهاجمان سایبری در این کمپین، به‌طور ماهرانه‌ای نام‌ها و برندهای شناخته‌شده‌ای مانند Coinbase، MetaMask، Trust Wallet، Phantom، Exodus، OKX، Keplr، MyMonero، Bitget، Leap، Ethereum Wallet و Filfox را جعل کرده‌اند. کاربران با نصب این افزونه‌ها، در واقع دروازه‌ای برای دسترسی مستقیم مهاجمان به اطلاعات کیف پول خود باز می‌کنند.

سرقت اطلاعات بدون جلب توجه

افزونه‌های جعلی فایرفاکس پس از نصب، بدون هیچ‌گونه هشدار یا نشانه‌ای، به‌صورت پنهانی اطلاعات محرمانه کیف پول کاربران را سرقت کرده و به سرورهای تحت کنترل مهاجمان ارسال می‌کنند. در اغلب موارد، این افزونه‌ها از نظر ظاهری و عملکرد، تفاوتی با نسخه‌های اصلی ندارند؛ مسئله‌ای که باعث فریب کاربران و کاهش احتمال شناسایی آن‌ها می‌شود.

بهره‌برداری از اعتماد کاربران

یکی از تاکتیک‌های کلیدی این حمله، جعل نظرات مثبت و رتبه‌بندی‌های بالا برای افزونه‌ها در فروشگاه فایرفاکس است. بسیاری از این افزونه‌ها دارای صدها نقد و بررسی جعلی هستند که آن‌ها را معتبر جلوه می‌دهد. این موضوع باعث شده کاربران زیادی بدون تحقیق بیشتر، اقدام به نصب این ابزارها کنند.

حمله‌ای سازمان‌یافته با هدف برداشت اعتبارنامه‌ها

تحقیقات کوی سکیوریتی نشان می‌دهد که این حملات نه‌تنها یک کمپین ساده، بلکه بخشی از یک عملیات پیچیده و هماهنگ با هدف ردیابی و برداشت اطلاعات کاربران در دنیای ارزهای دیجیتال است. این کمپین از آوریل ۲۰۲۵ فعال بوده و همچنان در حال گسترش است. افزونه‌های جعلی جدیدی حتی در هفته گذشته نیز در فروشگاه موزیلا مشاهده شده‌اند.

کپی‌برداری هدفمند از افزونه‌های متن‌باز برای فریب کاربران فایرفاکس

در موارد متعددی مشخص شده که مهاجمان با شبیه‌سازی نسخه‌های متن‌باز کیف پول‌های واقعی، کدهای مخرب را در آن‌ها تعبیه کرده‌اند. این افزونه‌های آلوده که در فروشگاه فایرفاکس منتشر شده‌اند، با حفظ عملکرد طبیعی کیف پول، از شناسایی توسط کاربران و حتی برخی ابزارهای امنیتی عبور کرده‌اند. این روش به مهاجمان امکان می‌دهد تا اطلاعات کاربران را به‌صورت تدریجی و بی‌صدا سرقت کنند.

بررسی فوری افزونه‌ها

Koi Security از کاربران مرورگر فایرفاکس درخواست کرده تا در اسرع وقت، تمامی افزونه‌های نصب‌شده خود را بررسی و در صورت مشاهده هرگونه افزونه مشکوک، اقدام به حذف فوری آن کنند. همچنین توصیه می‌شود کاربران رمز عبور و کلیدهای خصوصی کیف پول‌های خود را تغییر دهند.

همکاری با موزیلا برای مقابله

این شرکت اعلام کرده است که در حال همکاری نزدیک با تیم موزیلا و مرورگر فایرفاکس است تا افزونه‌های شناسایی‌شده را حذف کرده و از بارگذاری مجدد آن‌ها جلوگیری کند.

شواهد زبانی در کدهای مخرب

یکی از نکات قابل‌توجه در بررسی‌های فنی، کشف یادداشت‌هایی به زبان روسی در کد افزونه‌ها و فراداده‌های برخی فایل‌هاست. این شواهد قوی، هرچند قطعی نیستند، اما نشان‌دهنده احتمال دخالت یک گروه روس‌زبان در اجرای این کمپین هستند.

سوابق مرتبط با حملات گذشته

این نخستین‌بار نیست که گروه‌های مرتبط با روسیه در حملات سایبری علیه جامعه رمزارزها نقش دارند. چند ماه پیش نیز شرکت SlowMist از یک کمپین فیشینگ پیشرفته خبر داد که با استفاده از لینک‌های جعلی Zoom، میلیون‌ها دلار از کاربران سرقت کرد. در آن حمله هم مانند حمله اخیر در فایرفاکس، کدهایی به زبان روسی و سرورهایی در اروپا شناسایی شدند.

جمع‌بندی: حفظ امنیت در فضای رمزارزها حیاتی‌تر از همیشه

در شرایطی که استفاده از رمزارزها رو به افزایش است، کاربران باید بیش از پیش نسبت به امنیت ابزارهایی که استفاده می‌کنند حساس باشند. افزونه‌های مرورگر، به‌خصوص در حوزه کیف پول‌های دیجیتال، می‌توانند نقطه ورود حملات سایبری مخرب باشند. ضروری است که افراد تنها از منابع رسمی و معتبر استفاده کرده، پیش از نصب هر افزونه‌ای تحقیقات لازم را انجام دهند و هرگونه رفتار مشکوک را به سرعت گزارش دهند.

منبع