Firefox'ta sahte kripto cüzdan uzantıları: Kullanıcılar büyük risk altında

Firefox kullanıcıları dikkat: Sahte kripto cüzdan uzantıları büyük bir tehdit oluşturuyor

Kripto para sahibi Firefox kullanıcılarına yönelik ciddi bir siber güvenlik uyarısı yapıldı. Siber güvenlik firması Koi Security'nin 24’ünde (yerel saatle) yaptığı açıklamaya göre, kripto cüzdan bilgilerini çalmak için tasarlanmış *zararlı Firefox uzantıları* yaygın şekilde dağıtılıyor. Sahte uzantılar, Coinbase, MetaMask, Trust Wallet, Phantom ve OKX gibi popüler cüzdan uygulamalarının ismini ve görünümünü taklit ediyor. Toplamda 40’tan fazla kötü amaçlı eklenti tespit edildi ve bunların, kullanıcıların kripto varlıklarını gizlice hacker sunucularına aktarma özelliği taşıdığı belirtildi.

Koi Security’e göre saldırı kampanyası Nisan 2025 itibarıyla sistematik hale geldi ve halen devam ediyor. Kötü amaçlı uzantılar, Mozilla’nın eklenti mağazasına sürekli olarak yüklenmeye devam ediyor. Uzantılar yüklendiğinde, kullanıcıların IP adreslerini uzaktaki sunuculara iletiyor ve ziyaret edilen web siteler üzerindeki cüzdanlar üzerinden *özel anahtar* ve varlık bilgilerini sızdırıyor.

En dikkat çekici unsur, saldırganların sahte uzantıları meşru gibi göstermek için yüzlerce sahte ‘olumlu inceleme’ ile kullanıcı güvenini kazanması. Bu uzantılar popüler açık kaynaklı cüzdan eklentilerini kopyalayarak yalnızca arkaplana kötü amaçlı kod yerleştiriyor. Böylece eklenti, dışarıdan tamamen normal görünürken arka planda kullanıcı bilgilerini çalıyor.

Firma, analiz edilen vakalarda kullanılan altyapı, yazılım kodları ve saldırı tekniklerinin profesyonel ve *örgütlü bir siber suç oluşumuna* işaret ettiğini vurguladı. Koi Security, bu uzantıyı yüklemiş olan kullanıcılara derhal eklentiyi kaldırma ve cüzdan özel anahtarlarını yenileme çağrısı yaptı. Ayrıca Mozilla ile iş birliği içinde zararlı uzantıların kaldırıldığını, yeni yükleme girişimlerine karşı önlem alındığını belirtti.

Kod içinde yer alan bazı teknik detaylar da dikkat çekici. Kötü amaçlı yazılımın içinde yer alan *Rusça* açıklamalar ve sunucularda bulunan PDF dosyalarının meta verileri, saldırıların Rusça konuşan hacker gruplarıyla bağlantılı olabileceğini düşündürüyor. Ancak şu an için bu bilgi kesin delil niteliğinde değil ve daha fazla analiz yapılması gerekiyor.

Bu saldırı, son aylarda artış gösteren Rusya bağlantılı siber suç faaliyetlerinin bir yenisi. Örneğin, geçtiğimiz baharda blockchain güvenlik şirketi SlowMist tarafından analiz edilen bir sahte Zoom toplantı bağlantısıyla yapılan saldırıda da benzer kod izlerine rastlanmıştı. O olayda çalınan varlıklar *Ethereum(ETH)*’a çevrilerek büyük kripto borsalarında satılmıştı.

Yorum: Kripto para kullanıcılarının artması, siber saldırganları da daha karmaşık yöntemlerle harekete geçiriyor. Sahte tarayıcı uzantıları gibi yöntemler, özellikle güvenlik bilinci düşük kullanıcılar için büyük tehdit oluşturuyor. Uzmanlar, Firefox gibi açık kaynaklı tarayıcı kullananların ‘resmî mağaza’ etiketine güvenmekle yetinmeyip ek kontroller yapmaları gerektiğini vurguluyor.