Кошельки под угрозой: в Firefox обнаружены фейковые расширения для кражи крипты

Анализ вредоносной кампании, угрожающей активам криптоинвесторов по всему миру. В эпоху массового перехода к децентрализованным финансам (DeFi) и широкого распространения Web3-инфраструктуры криптовалютные кошельки стали не просто инструментами доступа к активам — они стали самими активами.

Утрата доступа к кошельку практически всегда означает полную и необратимую потерю средств. Именно поэтому киберпреступники всё чаще фокусируются не на взломе бирж или смарт-контрактов, а на компрометации конечного пользователя — через его устройство, браузер и особенно расширения.

Новая вредоносная кампания, выявленная исследовательской группой Koi Security, проливает свет на масштабную и тонко организованную операцию, цель которой — массовая кража приватных ключей и seed-фраз пользователей браузера Firefox.

С апреля 2025 года в официальном каталоге расширений Mozilla распространялись десятки поддельных плагинов, маскирующихся под известные кошельки — от MetaMask до Trust Wallet и Coinbase Wallet. Некоторые из них оставались доступными вплоть до конца июня, несмотря на все принятые меры.

Этот инцидент наглядно демонстрирует, насколько уязвим может быть пользователь даже в пределах доверенной экосистемы. Поддельные расширения, оформленные с предельной достоверностью, получают высокие оценки, собирают сотни фальшивых отзывов и проходят автоматическую модерацию браузера. Они не просто имитируют поведение легитимных кошельков — они используют их код, внедряя туда вредоносные фрагменты.

Для криптоинвестора подобная угроза критична: она способна обнулить всё портфолио за считанные минуты. Но что еще важнее — атака ведётся в «мирное время», без шума и взломов, под прикрытием якобы легитимных инструментов.

В этой статье мы проведём обзор инцидента, выявим ключевые векторы атаки, разберем последствия для пользователей и крипторынка, а также дадим практические рекомендации, как защитить себя и свои активы — от обычной установки расширений до глубокой изоляции средств в режиме холодного хранения.

Этот материал особенно важен для тех, кто активно инвестирует в криптоактивы, использует браузерные кошельки, участвует в DeFi-протоколах и хранит приватные ключи на устройствах с интернет-доступом.

Web3 открывает новые возможности, но и требует новой дисциплины безопасности. Сейчас — самое время ее пересмотреть.

Суть инцидента

Компания Koi Security, специализирующаяся на кибербезопасности в Web3-секторе, сообщила об обнаружении масштабной вредоносной кампании в официальном каталоге расширений (Add-ons) браузера Mozilla Firefox.

С апреля 2025 года злоумышленники разместили в магазине более 40 поддельных расширений, имитирующих популярные криптокошельки: MetaMask, Trust Wallet, Phantom, Coinbase Wallet, Exodus, Keplr, OKX и другие.

Подделки разработаны с единственной целью — кража seed-фраз и приватных ключей пользователей. Эти данные позволяют получить полный доступ к криптоактивам, что при их компрометации приводит к необратимой потере средств. Кампания, по данным исследователей, продолжается до сих пор. Некоторые вредоносные дополнения до сих пор доступны в Mozilla Add-ons.

Для криптоинвесторов этот инцидент — тревожный сигнал: он иллюстрирует, насколько уязвимой может быть инфраструктура Web3 при недостаточном внимании к вопросам безопасности. Даже официальные магазины браузеров больше не могут служить гарантом легитимности расширений.

Как действуют фальшивые расширения

Вредоносные расширения, обнаруженные Koi Security, отличаются высокой степенью маскировки и технической продуманностью. Их цель — обмануть как можно больше пользователей, обеспечив длительное присутствие в системе жертвы без выявления. Ниже — ключевые особенности их работы:

1. Имитируют внешний вид легитимных кошельков

   Большинство поддельных расширений визуально неотличимы от оригинальных: они используют те же иконки, наименования, описание, UI-компоненты и даже подсвеченные фразы в описании. Зачастую в них встроен оригинальный исходный код кошелька с минимальными модификациями, внедряющими вредоносную логику — например, подмену обработчиков событий при импорте seed-фразы.

2. Накрученные рейтинги и отзывы

   Многие фальшивые расширения набрали сотни положительных отзывов, созданных с помощью автоматизированных систем. Рейтинг большинства таких дополнений превышает 4.5 звезды, а фидбэк состоит из шаблонных фраз: “Works perfectly”, “Easy to use”, “Best wallet ever”, что вводит в заблуждение даже опытных пользователей.

3. Сбор чувствительной информации

   Основная задача вредоносного кода — перехват приватных ключей и seed-фраз. Они передаются на внешние серверы, зачастую с фиксацией IP-адреса, языка системы, метаданных браузера. Эти данные могут использоваться для точечной фишинговой атаки или последующего взлома других сервисов.

4. Фоновая активность и сохранение данных

   Расширения сохраняют данные в локальном хранилище и могут передавать их через WebSocket или в виде зашифрованных пакетов. Это позволяет работать скрытно и не привлекать внимания стандартных антивирусов или защитных механизмов браузера.

5. Долговечность за счет ротации имён

   Если одно из расширений попадает под блокировку, злоумышленники немедленно заливают новые версии под слегка измененными названиями, например: metamaskext, official-metamask-wallet, metamask-crypto-official, wallet-metamask-crypto-wallet и т. д. Это создаёт иллюзию множественных официальных релизов.

Подозрения на русскоязычную группу

По совокупности технических и лингвистических признаков Koi Security предполагает, что за кампанией может стоять русскоязычная киберпреступная группа. Среди доказательств:

• В коде ряда расширений обнаружены комментарии на русском языке, в том числе фразы: # сохранить фразу в файл, # отправить ключ на сервер, что указывает на разработчиков, владеющих русским.

• Названия управляющих серверов и путь к логам содержат кириллические метки и переменные, характерные для разработки в русскоязычных IDE.

• Серверы управления зарегистрированы на российских и восточноевропейских хостингах, часто используемых в фишинговых и мошеннических кампаниях.

• В некоторых payload-файлах фигурируют латинизированные русские слова (например, dannye, otpravka, kluchi) в структурах JSON-запросов.

Это может указывать на связь с одной из известных APT-групп или подпольных «кухонь» разработки, специализирующихся на продаже вредоносных тулкитов под заказ. Такие группы активно взаимодействуют на подпольных форумах в даркнете, где распространяют инструменты для компрометации Web3-проектов и инвесторов.

BYBIT: $50 в подарок за регистрацию и до $30 000 в бонусах за депозит!

Список заражённых расширений

По результатам анализа, фальшивые расширения охватывают весь спектр популярных кошельков. Это говорит о целенаправленном подходе к массовому охвату и заранее продуманной архитектуре кампании.

Ниже — перечень подтверждённых вредоносных дополнений. Выводим в виде массива для наглядности:

bitget-by-addon, bitget-by-addons, bitget-extension, btc-wallet, coinbasewallet, developer-trust, eth-for-edition, eth-wallet, ethereum-wallet, ethereum-wallet-crypto, fil-project, filfox, filfox-wallet, is-a-block-explorer, keplr-wallet, leap-wallet, metamask-addons, metamask-crypto-official, metamask-for-firefox,

metamask-for-wallet, metamask-the-extension, metamaskext, mew-wallet-ethereum-defi-web3, mymonero-wallet, official-metamask, official-metamask-wallet, okx-add, okx-addons, okx-wallet-extension, okx-wallet-extension1, phantom-ext-off, phantom-wallet-extension, trust-app, trust-application, trust-bestwallet, trust-cryp, trust-developer, trust-extension-wallet, trust-for-mozilla, trust-wallet-mozilla-add, wallet-for-bitcoin, wallet-for-trusr-crypto-wallet, wallet-for-trust, wallet-metamask-crypto-wallet.

Ряд из этих расширений продолжает оставаться активным в каталоге. Это говорит о недостаточной эффективности систем модерации и автоматической верификации со стороны Mozilla.

Почему это опасно для инвесторов

В отличие от классических фишинговых атак, поддельные расширения — это более коварный вектор. Они встроены в доверенную инфраструктуру — официальный каталог браузера, который по умолчанию считается безопасным. Для криптоинвесторов это создаёт целый спектр угроз:

• Массовая утрата средств. Потеря seed-фразы = полная потеря доступа к активам. Восстановить средства невозможно.

• Невидимость угрозы. Расширения могут перехватывать действия даже в hardware-кошельках, если использовать их через браузерный интерфейс.

• Компрометация идентичности. IP-адреса и поведенческие данные могут использоваться для deanonymization-атак и последующего шантажа или фишинга.

• Подрыв доверия к криптоэкосистеме. Даже технически грамотные пользователи становятся уязвимыми, что снижает привлекательность Web3-инфраструктуры для новых инвесторов и институциональных игроков.

Как защитить свои активы

Чтобы избежать потерь и обеспечить безопасность криптоинвестиций, необходимо принять комплексные меры:

✅ 1. Избегайте установки расширений через браузерные каталоги

Предпочитайте установку через официальные сайты разработчиков. Даже наличие в Mozilla Add-ons или Chrome Web Store больше не гарантирует подлинность.

✅ 2. Проверяйте название и репутацию

Фальшивые дополнения часто используют почти идентичные названия. Обращайте внимание на лишние дефисы, добавленные слова (“official”, “extension”, “wallet”) и количество загрузок.

✅ 3. Используйте аппаратные кошельки (hardware wallets)

Ledger, Trezor, Keystone, SafePal и аналогичные устройства обеспечивают надежную защиту от кражи приватных ключей — они никогда не покидают устройство и недоступны браузеру. Даже если вредоносное расширение попытается получить доступ, оно не сможет подписывать транзакции без физического подтверждения.

✅ 4. Храните ключи оффлайн (cold storage)

Холодное хранение — это стратегия полного изоляционного хранения приватных ключей без подключения к интернету. Это лучший способ защитить крупные инвестиции.

Варианты холодного хранения:

• Аппаратные кошельки. Лучший баланс между безопасностью и удобством. Используйте только официально приобретенные устройства.

• Оффлайн-флешки/SSD с шифрованием. Можно создать wallet-файл в MetaMask или других кошельках и сохранить его в зашифрованном виде на флешке, которую никогда не подключаете к интернету.

• Бумажные кошельки. Распечатка или запись seed-фразы/приватного ключа на бумаге. Обязательно используйте надёжный принтер в офлайн-среде. Храните бумагу в сейфе, без доступа к влаге или огню.

• Металлические таблички. Надёжный способ долговременного хранения seed-фразы. Такие таблички устойчивы к огню, воде и механическим повреждениям.

Что важно учитывать:

• Никогда не храните seed-фразу в цифровом виде на компьютере, в облаке или в мессенджерах.

• Используйте шифрование (например, VeraCrypt) для хранения любых wallet-файлов.

• Делайте резервные копии в нескольких физических местах.

• Используйте мультиподпись (multisig) для крупных активов.

✅ 5. Настройте контроль сетевой активности

Установите брандмауэр или прокси, который отслеживает, куда отправляются данные браузером и его расширениями. Используйте расширения типа uMatrix или NoScript для избирательного контроля трафика.

Реакция сообщества и Mozilla

На момент публикации статьи Mozilla официально не прокомментировала инцидент. Известно лишь, что по запросу Koi Security начался процесс удаления некоторых вредоносных расширений.

Однако отсутствие предварительной проверки, слабые автоматические фильтры и неспособность обнаружить более 40 вредоносных компонентов в течение двух месяцев — тревожный сигнал.

Сообщество Web3 уже выразило обеспокоенность. На форумах и в Twitter обсуждаются предложения по созданию независимого white-list расширений для криптопользователей, а также инициативы по верификации разработчиков кошельков через цифровые подписи и zk-пруфы.

Заключение: как финальный совет

Обнаружение более 40 вредоносных расширений в официальном магазине Firefox — это не просто частный инцидент, а тревожный маркер общей уязвимости пользовательской инфраструктуры в эпоху Web3. Поддельные кошельки, маскирующиеся под MetaMask, Trust Wallet, Phantom и другие, были доступны в течение месяцев, успешно обходя систему модерации, накапливая фальшивые отзывы и компрометируя сотни или даже тысячи криптопользователей.

Для криптоинвестора это событие должно стать поводом для фундаментального пересмотра подходов к хранению активов, особенно если речь идёт о браузерных кошельках и повседневном использовании DeFi-продуктов. В условиях, когда доверие к браузерной экосистеме подорвано, именно уровень технической осведомленности и гигиена цифровой безопасности становятся ключевыми факторами сохранности капитала.

Ключевые выводы:

• Инфраструктура Web3 подвержена атакам на самом базовом уровне — уровне браузера. Даже официальный каталог дополнений не гарантирует безопасность.

• Основная цель атакующих — не взлом кода смарт-контрактов, а манипуляция поведением пользователя. В данном случае — через расширения, которые кажутся «официальными».

• Ставка делается на социальную инженерию: визуальную идентичность, фейковые рейтинги, псевдоотзывы. И это работает.

• Даже опытные инвесторы не застрахованы, если пренебрегают базовыми принципами сегментации активов и холодного хранения.

• Mozilla и другие браузерные платформы нуждаются в системных изменениях политики безопасности, включая верификацию разработчиков, цифровые подписи и ручную модерацию криптовалютных расширений.

Для криптоинвесторов это означает:

1. Не доверять «обертке» интерфейса. Даже если расширение выглядит знакомо, оно может быть фейковым.

2. Свести до минимума использование браузерных кошельков для хранения крупных сумм. Их место — в аппаратных или офлайн-хранилищах.

3. Проверить все установленные расширения. Особенно те, что относятся к криптовалютам. При малейших сомнениях — удалить.

4. Регулярно обучать себя и команду, если вы работаете с криптоактивами в рамках бизнеса или управляете средствами других людей.

5. Следить за инфраструктурными рисками, а не только за рыночными трендами. Безопасность — это не фича, а фундамент портфеля.

Децентрализация ≠ безопасность по умолчанию

Одно из главных заблуждений криптосообщества — вера в то, что децентрализованные технологии автоматически обеспечивают защиту от угроз. На практике же децентрализация переносит ответственность на пользователя. Именно поэтому личная безопасность становится краеугольным камнем в стратегии любого инвестора.

Те, кто хранит десятки или сотни тысяч долларов в крипте, обязаны мыслить как системные архитекторы: с разделением доступов, резервированием, многоступенчатой верификацией и отсутствием доверия к внешним интерфейсам. Это — не паранойя, а норма в условиях цифрового хаоса.

Сделайте аудит своей цифровой среды уже сегодня

• Проверьте браузерные расширения.

• Переведите средства с горячих кошельков в холодные.

• Защитите seed-фразы и приватные ключи физически.

• Отделите ежедневную работу от долгосрочного хранения.

• Будьте в курсе киберугроз так же, как и в курсе рыночных графиков.

В мире Web3 контроль над активами = контроль над рисками. И тот, кто пренебрегает безопасностью, рано или поздно теряет всё.

Читайте также:

• За июнь в сети Solana было совершено в 2 раза больше транзакций, чем во всех остальных сетях вместе взятых: ждать ли взлета Solana

• Три перспективных мемкоина, за которыми стоит следить в июле 2025 года: тренды, риски и возможности для инвесторов

• Как застраховать себя и получить доход, привязанный к курсу BTC

• SEC упростит запуск крипто-ETF: новый стандарт листинга откроет дорогу институциональным инвестициям

• Прогноз Ripple (XRP) на июль 2025 года: киты усиливают позиции, рынок ждёт развязки