Äskettäisessä ”Greedybear” -nimessä kampanjassa käytettiin noin 150 haitallista Firefox -laajennusta arviolta miljoonan dollarin varastamiseen kryptovaluutta lompakkojen omistajilta. Koi Security -sovelluksen paljastama järjestelmä koski uhkatoimijoita, jotka olivat jäljittäneet lailliset salausvaluutta lompakkopidennykset Firefox-lisäosien myymälässä.
Mozilla on sittemmin poistanut tunnistetut haittaohjelmat. Tutkijat kuitenkin ehdottavat, että hyökkääjät voisivat nopeasti käynnistää samanlaisia kampanjoita, ja Chrome Web -kaupassa jo tunnistettu ”ahnebear” potentiaalinen laajentuminen Filecoin Wallet -nimisen laajennuksen kautta.
Haitalliset laajennukset näyttivät alun perin hyvänlaatuisilta. Uhka -näyttelijät latasivat näennäisesti vaarattomia salausaineita lompakon laajennuksia tuotemerkin kanssa, joka jäljitteli suosittuja alustoja, kuten MetaMask, Tronlink ja Rabby. Sitten he keräsivät vääriä positiivisia arvosteluja luottamuksen rakentamiseksi. Myöhemmin hyökkääjät korvasivat nimet ja logot ja pistivät haitallisen koodin muuttamalla nämä laajennukset avainloggereiksi. Nämä vaaranneet laajennukset pystyivät sieppaamaan lomakkeen kenttätuloja ja uhrien ulkoisia IP -osoitteita, välittämällä nämä arkaluontoiset tiedot hyökkääjien palvelimille.
Tällaisten uhkien suojaamiseksi käyttäjiä neuvotaan sokeasti luottamaan virallisista lisäkaupoista löytyviä laajennuksia. Ennen uuden laajennuksen asentamista on ratkaisevan tärkeää lukea käyttäjäarvostelut perusteellisesti vain tähden luokitusten ulkopuolella, tutkia versiohistoriaa ja tutkia kehittäjän muita projekteja epäilyttävien toimintojen saavuttamiseksi. Erityisesti kryptovaluutan lompakoissa turvallisempi käytäntö on siirtyä suoraan projektin viralliseen verkkosivustoon, joka tarjoaa linkin lailliseen laajennukseen.
Source: Kuinka 150 väärennettyä Firefox -laajennusta varasti 1 miljoonan dollarin kryptovaluutassa
