كشف باحثون في مجال الأمن السيبراني عن أكثر من 40 إضافة خبيثة لمتصفح موزيلا فايرفوكس صُممت خصيصًا لسرقة بيانات محافظ العملات الرقمية، مما يعرض أصول المستخدمين الرقمية للخطر.
وقال الباحث “يوفال رونين” من شركة Koi Security إن هذه الإضافات تنتحل صفة أدوات محافظ شهيرة مثل Coinbase وMetaMask وTrust Wallet وPhantom وExodus وOKX وKeplr وMyMonero وBitget وLeap وEthereum Wallet وFilfox، وهي منصات واسعة الاستخدام في سوق العملات الرقمية.
ويُعتقد أن هذه الحملة الواسعة النطاق نشطة منذ أبريل 2025 على الأقل، مع استمرار رفع إضافات جديدة إلى متجر فايرفوكس للإضافات حتى الأسبوع الماضي.
تضليل ممنهج وخداع بصري
اتضح أن الإضافات الخبيثة تعتمد على تضخيم شعبيتها بشكل مزيف، حيث أُضيفت إليها مئات التقييمات بخمس نجوم، وهي تفوق بكثير عدد التثبيتات الفعلية النشطة. تهدف هذه الاستراتيجية إلى خلق وهم من الموثوقية، ما يدفع المستخدمين غير الحذرين لتثبيتها.
كما لجأ المهاجمون إلى استخدام نفس أسماء وشعارات المحافظ الأصلية، لتضليل المستخدمين وجعل الإضافات تبدو شرعية تمامًا.
اللافت أن بعض هذه الإضافات الشرعية كانت مفتوحة المصدر، مما أتاح للمهاجمين استنساخ الشيفرة الأصلية وإدخال وظائف خبيثة تهدف إلى سرقة عبارات الاستعادة ومفاتيح المحافظ عند زيارات المستخدمين لمواقع المحافظ المستهدفة، ثم إرسالها إلى خادم تحكم عن بعد. كما رُصد أن الإضافات الخبيثة تقوم أيضًا بإرسال عنوان IP الخارجي للضحايا.
تهديد يصعب اكتشافه
وعلى عكس حملات التصيّد التقليدية التي تعتمد على مواقع أو رسائل مزيفة، فإن هذه الإضافات تعمل من داخل المتصفح نفسه، مما يجعل اكتشافها أو حظرها باستخدام أدوات الحماية التقليدية أمرًا صعبًا للغاية.
وأوضح الباحث رونين أن “هذا النهج منخفض الجهد وعالي التأثير، أتاح للمهاجم الحفاظ على تجربة استخدام طبيعية، ما يقلل من فرص اكتشافه فورًا.”
وأشارت التحليلات إلى وجود تعليقات برمجية باللغة الروسية في الشيفرة المصدرية، إلى جانب بيانات تعريفية تم الحصول عليها من ملف PDF عُثر عليه في خادم التحكم والسيطرة (C2)، ما يرجح ارتباط الهجوم بمجموعة تهديد ناطقة بالروسية.
استجابة موزيلا ومحاولات الحماية
قامت موزيلا بإزالة جميع الإضافات المكتشفة من متجرها، باستثناء إضافة واحدة وهي MyMonero Wallet، التي لا تزال قيد المراجعة. وكانت موزيلا قد أعلنت الشهر الماضي عن تطوير نظام كشف مبكر مصمم لتحديد ومنع إضافات محافظ العملات الرقمية الاحتيالية قبل أن تكتسب شهرة وتستخدم في سرقة بيانات المستخدمين.
وللوقاية من مثل هذه التهديدات، يُوصى بعدم تثبيت أي إضافات إلا من ناشرين موثوقين، والتحقق من سلوك الإضافة بعد التثبيت لضمان عدم تغيره بشكل خفي.
