보안 연구자들이 수십 개의 사기성 파이어폭스(Firefox) 브라우저 확장 프로그램을 사용하여 사용자들로부터 암호화폐 지갑 자격증명을 도용하는 광범위한 사이버 범죄 작전을 발견했다.
3일(현지시간) 더 블록에 따르면, 코이 시큐리티(Koi Security)는 수요일 발표한 보고서에서 이 정교한 계획이 인기 있는 암호화폐 플랫폼의 합법적인 지갑 애플리케이션으로 위장한 40개 이상의 악성 확장 프로그램을 포함한다고 경고했다.
구체적으로, 가짜 확장 프로그램들은 코인베이스(Coinbase), 메타마스크(MetaMask), 트러스트 월렛(Trust Wallet), 팬텀(Phantom), 엑소더스(Exodus), OKX, 케플러(Keplr), 마이모네로(MyMonero), 비트겟(Bitget), 립(Leap), 이더리움 월렛(Ethereum Wallet), 필폭스(Filfox) 같은 주요 암호화폐 서비스들의 합법적인 도구들을 사칭했다. 사용자들이 이러한 위조 확장 프로그램을 설치한 후, 민감한 지갑 정보를 은밀히 수집하여 피해자들의 암호화폐 자산을 도난에 노출시킬 가능성이 있다.
보고서는 공격이 "진행 중이며 매우 활발하다"고 말하며, 일부 확장 프로그램들이 여전히 이용 가능하다고 밝혔다. 보고서는 "캠페인이 최소 2025년 4월부터 활성화되어 있음을 확인할 수 있다"고 덧붙였다. "새로운 악성 확장 프로그램들이 지난주까지도 파이어폭스 애드온 스토어에 업로드되었다. 업로드의 지속적인 성격은 작전이 여전히 활성화되고 지속적이며 진화하고 있음을 시사한다."
사용자들로부터 신뢰를 얻기 위한 시도로, 이러한 가짜 확장 프로그램들은 평점과 리뷰 같은 메커니즘을 악용했으며, 많은 것들이 수백 개의 가짜 5성 리뷰를 보유하고 있다고 보고서에 따르면 밝혀졌다.
코이 시큐리티는 또한 악성 확장 프로그램 내의 러시아어 코드 주석과 작전에 사용된 명령 및 제어 서버에서 호스팅되는 PDF 파일로부터 복구된 메타데이터를 포함하여 러시아어 사용 위협 행위자를 가리키는 징후들이 있다고 지적했다. 보고서는 "결정적이지는 않지만, 이러한 인공물들은 캠페인이 러시아어 사용 위협 행위자 그룹에서 기원할 수 있음을 시사한다"고 말했다.