В Firefox нашли десятки фейковых кошельков — у пользователей крадут криптовалюту

Вредоносные расширения маскируются под MetaMask, Coinbase и другие популярные сервисы. Атака все еще продолжается. Исследователи из Koi Security обнаружили масштабную кампанию по краже криптовалюты через поддельные расширения для браузера Firefox.

По их данным, злоумышленники загрузили более 40 вредоносных дополнений, которые маскируются под кошельки известных платформ. Пользователи устанавливали их, не подозревая, что передают доступ к своим средствам.

Атака длится не один месяц. Первые поддельные расширения появились в каталоге Firefox еще в апреле 2025 года. Некоторые из них остаются активными и сегодня.

Что именно произошло?

Злоумышленники создавали копии популярных кошельков. Среди них — MetaMask, Trust Wallet, Coinbase Wallet, Phantom, Exodus, OKX, MyMonero, Keplr, Bitget и другие. Расширения внешне были почти неотличимы от настоящих. Названия, логотипы, описание — всё копировалось до мелочей.

После установки фальшивые расширения начинали собирать ключевую информацию: сид-фразы, приватные ключи, логины и пароли. Жертвы могли даже не заметить подвоха.

Различить подделку без опыта практически невозможно

Каждое вредоносное дополнение сопровождалось десятками поддельных отзывов. Пять звезд, фразы вроде «отличный кошелек», «работает быстро», «все как надо». Это добавляло доверия. Расширения поднимались в результатах поиска и попадали в рекомендации. Пользователи просто нажимали «установить».

По словам аналитиков, на первый взгляд дополнения выглядели абсолютно легитимными. У многих было по 100–200 «отзывов» и высокий рейтинг. Атака была рассчитана на массовость — чем выше охват, тем больше украденных средств.

Читать также: Утечки сид-фраз и взломы интерфейсов стали главными причинами потерь в 2025 году

Следы ведут к русскоязычным хакерам

Внутри кода специалисты нашли комментарии на русском языке. Также были обнаружены PDF-файлы с русскоязычными метками, загруженные на управляющие серверы.

Эти детали не дают полной уверенности, но указывают на возможное происхождение атакующих. Кампания выглядит скоординированной. И она до сих пор не завершена.

«Мы видим постоянные загрузки новых копий», — пишут эксперты из Koi Security. «Схема живет, адаптируется, обновляется».

Что делать прямо сейчас?

Кошельки, установленные через Firefox, необходимо проверить на наличие вредоносных дополнений. Расширения, загруженные не с официальных сайтов разработчиков, подлежат немедленному удалению.

Также следует провести аудит криптовалютных кошельков на предмет подозрительной активности. В случае, если приватный ключ или сид-фраза вводились в ненадежное расширение, рекомендуется как можно скорее перевести средства на новый адрес.

Реакции пока нет

Компания Mozilla, управляющая Firefox, пока не прокомментировала ситуацию. Некоторые поддельные расширения удалены, но часть все еще доступна. Исследователи уже направили обращения, но процесс удаления идёт медленно.

Что дальше?

Это не просто единичный случай. Кампания масштабна, и за ней стоит группа с серьёзными техническими ресурсами. Фейковые кошельки продолжают появляться. Пользователи рискуют потерять доступ к своим средствам, даже не подозревая об этом.

В эпоху цифровых активов вопрос безопасности больше не второстепенный. Он — основной. И чем позже платформа отреагирует, тем больше будет жертв.

Читать далее: США голосуют за закон о цифровых активах — рынок готовится к переменам