یک کمپین مخرب به نام GreedyBear به فروشگاه افزونههای Mozilla نفوذ کرده و کاربران Firefox را با ۱۵۰ افزونه مخرب هدف قرار داده که تخمین زده میشود بیش از یک میلیون دلار از قربانیان ناآگاه سرقت ارز دیجیتال کرده است.
جزئیات حمله برای سرقت ارز دیجیتال
این کمپین که توسط Koi Security کشف و مستند شده، افزونههای کیف پول ارز دیجیتال از پلتفرمهای شناختهشدهای مانند MetaMask، TronLink و Rabby را جعل کرده است. این افزونهها در ابتدا بهصورت بیضرر بارگذاری میشوند تا مورد پذیرش Firefox قرار گیرند و نظرات مثبت جعلی جمعآوری میکنند. در مرحله بعدی، مهاجمان برند اصلی را حذف کرده و نامها و لوگوهای جدیدی جایگزین میکنند، همچنین کد مخربی تزریق میکنند که اطلاعات ورود کیف پول و آدرسهای IP کاربران را سرقت میکند.
این کد مخرب بهعنوان یک keylogger عمل میکند و ورودیهای فرمها یا پنجرههای popups را ضبط کرده و به سرور مهاجمان ارسال میکند. افزونههای مخرب اطلاعات کاربری مرتبط با کیف پول را مستقیما از فیلدهای ورودی در رابط popup افزونه جمعآوری کرده و به سرور راه دور تحت کنترل گروه ارسال میکنند. همچنین، در زمان راهاندازی، آدرس IP خارجی قربانی را احتمالا برای ردیابی یا هدفگذاری ارسال میکنند.
این عملیات سرقت ارز دیجیتال با دهها وبسایت روسزبان عرضهکننده نرمافزارهای غیرقانونی تکمیل میشود که توزیع ۵۰۰ فایل اجرایی بدافزار مختلف را تسهیل میکنند، همچنین شبکهای از وبسایتهای جعلی که Trezor، Jupiter Wallet و خدمات تعمیر کیف پول تقلبی را تقلید میکنند.
در موارد بدافزار، پیلودهای مخرب شامل تروجانهای عمومی، سرقتکنندههای اطلاعات (مانند LummaStealer) یا حتی باجافزار هستند. همه این سایتها به یک آدرس IP مشترک (185.208.156.66) متصل هستند که بهعنوان مرکز فرمان و کنترل (C2) عملیات GreedyBear عمل میکند.
Koi Security یافتههای خود را به Mozilla گزارش داد و افزونههای متخلف از فروشگاه افزونههای Firefox حذف شدند.
با این حال، مقیاس گسترده و اجرای ظاهرا آسان این کمپین نشاندهنده آن است که چگونه هوش مصنوعی میتواند به مجرمان سایبری کمک کند تا کمپینهای بزرگمقیاس ایجاد کنند و بهسرعت از حذف کامل بازیابی شوند. تحلیل کد این کمپین نشانههای واضحی از آثار تولیدشده توسط هوش مصنوعی را نشان میدهد، که به مهاجمان امکان میدهد عملیات را سریعتر گسترش دهند، پیلودهای مخرب را متنوع کنند و از شناسایی فرار کنند.
حملههای دیگر به افزونه ها
حمله بزرگمقیاس قبلی در فروشگاه Firefox ماه گذشته رخ داد و شامل بیش از ۴۰ افزونه جعلی بود که وانمود به کیف پولهایی از Coinbase، MetaMask، Trust Wallet، Phantom، Exodus، OKX، Keplr و MyMonero میکردند.
قابل توجه است که این افزونههای جعلی همچنان به فروشگاه Firefox راه پیدا میکنند، با وجود اینکه Mozilla در ژوئن ۲۰۲۵ سیستمی برای شناسایی افزونههای سرقتکننده ارز دیجیتال مستقر کرده بود.
Koi Security همچنین گزارش داده که نشانههایی از تلاش اپراتورهای GreedyBear برای گسترش به فروشگاه وب Chrome دیده شده است؛ زیرا افزونه مخرب Filecoin Wallet با منطق سرقت داده مشابه و ارتباط با همان آدرس IP شناسایی شده است.
توصیه امنیتی
برای کاهش خطر این تهدیدات، همیشه نظرات متعدد کاربران را بخوانید و جزئیات افزونه و ناشر را پیش از نصب بررسی کنید. افزونههای رسمی کیف پول را میتوان مستقیما از وبسایتهای پروژهها یا لینکهای معتبر به فروشگاههای آنلاین یافت.
