أكثر من 40 إضافة مزيفة لمتصفح الويب الشهير Mozilla Firefox تم ربطها بحملة برمجيات خبيثة مستمرة تهدف إلى سرقة العملات الرقمية، وفقًا لتقرير نُشر يوم الأربعاء عن شركة الأمن السيبراني Koi Security.
ووفقًا للتقرير، تنشر هذه الحملة الواسعة النطاق إضافات تنتحل صفة أدوات محافظ شهيرة مثل Coinbase، وMetaMask، وTrust Wallet، وPhantom، وExodus، وOKX، وMyMonero، وBitget وغيرها. وبمجرد تثبيتها، تُصمَّم هذه الإضافات الخبيثة لسرقة بيانات اعتماد محافظ المستخدمين.
وقالت الشركة: "حتى الآن، تمكّنا من ربط أكثر من 40 إضافة مختلفة بهذه الحملة، التي لا تزال نشطة وتعمل بكثافة."
وذكرت Koi Security أن الحملة نشطة منذ أبريل على الأقل، وأن أحدث الإضافات تم تحميلها الأسبوع الماضي. ووفقًا للتقرير، تقوم هذه الإضافات باستخراج بيانات الدخول من المحافظ مباشرةً من مواقع الويب المستهدفة، ثم ترفعها إلى خادم بعيد يتحكم فيه المهاجم.
البرمجيات الخبيثة تستغل الثقة عبر التصميم
بحسب التقرير، تعتمد الحملة على استخدام التقييمات والمراجعات والعلامات التجارية والوظائف الظاهرة لكسب ثقة المستخدمين عبر التظاهر بالمصداقية. وقد حمل أحد التطبيقات مئات المراجعات المزيفة بتقييم خمس نجوم.
كما تميزت هذه الإضافات المزيفة بأسماء وشعارات مطابقة تمامًا للخدمات الأصلية التي تحاكيها. وفي عدة حالات، استغل القراصنة الكود مفتوح المصدر للإضافات الرسمية من خلال نسخه وإضافة تعليمات برمجية خبيثة عليه:
"هذا النهج منخفض الجهد وعالي التأثير أتاح للمهاجم الحفاظ على تجربة المستخدم المتوقعة، مع تقليل فرص الاكتشاف الفوري."
الاشتباه بفاعل يتحدث الروسية
قالت Koi Security إن "نسب الهجوم لا تزال غير مؤكدة"، لكنها أشارت إلى أن "عدة إشارات تشير إلى فاعل تهديد يتحدث الروسية". وتتضمن هذه الإشارات تعليقات مكتوبة بالروسية في كود البرمجية، بالإضافة إلى بيانات وصفية وُجدت في ملف PDF تم استرجاعه من خادم التحكم والسيطرة التابع للبرمجية الخبيثة:
"ورغم أن هذه الأدلة ليست قاطعة، فإنها تشير إلى أن الحملة قد تكون من تنفيذ مجموعة تهديد تتحدث الروسية."
وللحد من المخاطر، أوصت Koi Security المستخدمين بعدم تثبيت الإضافات إلا من ناشرين موثوقين، كما شددت على ضرورة التعامل مع الإضافات وكأنها برامج كاملة، عبر استخدام قوائم السماح (allowlists) والمراقبة المستمرة لأي سلوك أو تحديثات غير متوقعة.