Koi Security は2025年4月以降、MozillaのFirefoxアドオンストアにて悪意ある拡張機能が40種類以上確認され、仮想通貨ウォレットの機密情報を盗み取る大規模な攻撃キャンペーン「FoxyWallet」が進行中であることを指摘しました。
概要と手口
この攻撃では、Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMoneroなどの正規ウォレット拡張機能を装った偽装版が公開されており、インストールしたユーザーのウォレット情報を外部のC2サーバへ送信。
被害者のIPアドレスも併せて送られており、標的の追跡や絞り込みに悪用されているとみられます。
これらの拡張機能の中には、未だにFirefoxのマーケットプレイスで配信中のものも存在し、攻撃が現在も継続していると考えられます。
信頼性を装う巧妙な戦略
この攻撃が危険なのは、ユーザーに信頼されやすい手法を多用している点です。攻撃者は実際のウォレットアプリのロゴや名称を巧妙に模倣し、さらに拡張機能に大量の偽レビューを投稿。数百件の5つ星レビューが投稿された拡張機能も存在し、実際のインストール数以上に高評価に見えるよう仕組まれていました。
画像:Koi Security
一部の拡張機能では、オープンソースとして公開されている正規コードベースを流用し、そこに悪意あるコードを挿入。見た目や動作は正規の拡張機能と同様でありながら、密かにユーザー情報を抜き取るという高度な偽装が施されていました。
攻撃者の背景
拡張機能のコード内にはロシア語のコメントが含まれており、またC2サーバから取得されたPDFメタデータにもロシア語が確認されていることから、本キャンペーンはロシア語圏の攻撃者によるものである可能性が高いと見られています。
IOC(Indicator of Compromise)
以下は確認された悪性拡張機能名の一部です:
-
metamask-for-wallet -
trust-wallet-mozilla-add -
official-metamask-wallet -
phantom-wallet-extension -
keplr-wallet -
coinbasewalletなど
関連ドメインとしては、以下のような不審なものが挙げられています:
-
exodlinkbase[.]digital -
avalancheproject[.]digital -
allextdev[.]world
企業とユーザーへの推奨対策
-
拡張機能は信頼できる開発元からのみインストールする
-
高評価のレビューでも鵜呑みにせず、内容を確認する
-
使用する拡張機能を事前承認制(ホワイトリスト)に制限
-
一度きりのスキャンではなく、継続的な監視を実施
-
ブラウザ拡張機能も他のソフトウェア資産と同様に管理対象とする
結論
FoxyWalletキャンペーンは、ユーザーの「信頼」を巧みに逆手に取った、非常に高度で執拗な攻撃です。特に仮想通貨資産を扱うユーザーにとっては、極めて大きな被害リスクとなります。企業や個人を問わず、ブラウザ拡張機能に対するセキュリティ対策を今一度見直す必要があります。
Koi Securityは、こうしたマーケットプレイス由来の脅威に対し、包括的な可視化・監査・ガバナンス機能を提供しており、Fortune 50企業などでも導入が進んでいます。
参照
https://blog.koi.security/foxywallet-40-malicious-firefox-extensions-exposed-4c14419de486
関連記事
Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見
ChromeとEdgeの拡張機能を悪用した巧妙なサイバー攻撃 キャンペーンに注意
偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導-ClickFixによるソーシャルエンジニアリング
Fortinetの脆弱性(CVE-2024-21762,CVE-2024-55591)を悪用したサイバー攻撃が拡大中
Salesforce(セールスフォース)とSalesloft Drift 連携で拡がるサプライチェーン サイバー攻撃の解説
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
高齢者向けFacebook グループでマルウェアを拡散-端末乗っ取り、資金詐取まで
北朝鮮のハッカー集団 Lazarus(ラザルス)とは?攻撃手法や日本での被害実例
北朝鮮のラザルスがBybitへの約14.6億ドル(約2200億円)のハッキングに関与
