นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบ extensions บนเบราว์เซอร์ของ Mozilla Firefox ที่เป็นอันตรายมากกว่า 40 รายการ ที่ถูกออกแบบมาเพื่อขโมยข้อมูลสำคัญจาก cryptocurrency wallet ซึ่งส่งผลให้ digital assets ของผู้ใช้ตกอยู่ในความเสี่ยง

Yuval Ronen นักวิจัยจาก Koi Security เปิดเผยว่า "Extensions เหล่านี้ ปลอมตัวเป็นแอป legitimate wallet ที่ถูกต้องจากแพลตฟอร์มที่ใช้กันอย่างแพร่หลาย อย่างเช่น Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet และ Filfox"

แคมเปญขนาดใหญ่นี้ถูกคาดว่าเริ่มดำเนินการมาตั้งแต่เดือนเมษายน 2025 และยังคงมีการอัปโหลด extensions ใหม่ ๆ ไปยัง Add-ons store ของ Firefox ล่าสุดเมื่อสัปดาห์ที่แล้ว

"Extensions ที่ถูกตรวจพบเหล่านี้ ใช้วิธีเพิ่มความนิยมโดยการสร้างรีวิวปลอมจำนวนมาก ด้วยการเพิ่มรีวิว 5 ดาวหลายร้อยครั้ง ทั้งที่มียอดดาวน์โหลดจริงน้อยมาก กลยุทธ์นี้ถูกนำมาใช้เพื่อทำให้ดูน่าเชื่อถือ และทำให้ดูเหมือนว่าเป็น extensions ที่ถูกใช้งานอย่างแพร่หลาย เพื่อหลอกให้ผู้ใช้ที่ไม่ทันระวังให้ทำการติดตั้งลงไป"

อีกหนึ่งเทคนิคที่ผู้โจมตีใช้เพื่อสร้างความน่าเชื่อถือ คือการปลอมแปลง add-ons เหล่านี้ให้ดูเหมือนเป็นแอป legitimate wallet ที่ถูกต้อง โดยใช้ชื่อ และโลโก้เดียวกัน

เนื่องจากบางส่วนของ extensions เป็นแบบ open-source ทำให้ผู้โจมตีสามารถคัดลอก source code ต้นฉบับ แล้วแทรกฟังก์ชันการทำงานที่เป็นอันตรายของตนเองเข้าไป เพื่อขโมย wallet keys และ seed phrases จากเว็บไซต์ของเป้าหมาย ก่อนที่จะส่งข้อมูลเหล่านี้ไปยังเซิร์ฟเวอร์ของผู้โจมตี นอกจากนี้ยังพบว่า extensions ที่เป็นอันตรายเหล่านี้มีการส่ง IP addresses ของเหยื่อออกไปอีกด้วย

สิ่งที่แตกต่างจากการหลอกลวงแบบ phishing ทั่วไปที่ใช้เว็บไซต์ หรืออีเมลปลอมก็คือ extensions เหล่านี้ทำงานอยู่ภายในเบราว์เซอร์ของผู้ใช้โดยตรง ทำให้ยากต่อการตรวจจับ หรือบล็อกได้ด้วย traditional endpoint tools

Ronen ระบุว่า "แนวทางที่ใช้ความพยายามน้อย แต่ได้ผลตอบแทนสูงนี้ ทำให้ผู้โจมตีสามารถรักษาประสบการณ์การใช้งานที่ผู้ใช้คาดหวังไว้ได้ ในขณะเดียวกันก็ลดโอกาสที่จะถูกตรวจพบได้ในทันที"

การพบข้อความที่เป็นภาษารัสเซียใน source code รวมถึง metadata จากไฟล์ PDF ที่ได้มาจาก C2 server ที่ใช้ในการโจมตีครั้งนี้ ล้วนชี้เบาะแสว่ากลุ่มที่อยู่เบื้องหลังน่าจะเป็นผู้โจมตีที่ใช้ภาษารัสเซีย

Add-ons ที่ถูกระบุทั้งหมด ยกเว้น MyMonero Wallet ได้ถูก Mozilla ลบออกไปเรียบร้อยแล้ว เมื่อเดือนมิถุนายน 2025 ที่ผ่านมา และ Mozilla เปิดเผยว่า ได้พัฒนาระบบตรวจจับล่วงหน้า (early detection system) เพื่อค้นหา และบล็อก crypto wallet extensions ที่หลอกลวง ก่อนที่ extensions เหล่านั้นจะได้รับความนิยมในหมู่ผู้ใช้ และถูกนำไปใช้เพื่อขโมย assets ด้วยการหลอกให้ผู้ใช้กรอกข้อมูล credentials

เพื่อลดความเสี่ยงจากภัยคุกคามดังกล่าว ขอแนะนำให้ผู้ใช้ติดตั้ง extensions เฉพาะจากผู้พัฒนาที่ได้รับการยืนยันแล้วเท่านั้น และควรตรวจสอบให้แน่ใจว่า extensions เหล่านั้นไม่มีพฤติกรรมแอบแฝง หรือเปลี่ยนแปลงการทำงานในภายหลังการติดตั้ง

ที่มา : https://thehackernews.

Google ลบ Chrome Extensions ที่ซ่อนโค้ดไว้เพื่อขโมย Cryptocurrency Wallets ออกจากเว็บสโตร์ 49 รายการ

Google ได้ทำการลบ Chrome Extensions จำนวน 49 รายการออกจากเว็บสโตร์ออฟฟิเชียล หลังพบว่า Extensions ดังกล่าวแฝงมัลแวร์ไว้เพื่อขโมยข้อมูล Cryptocurrency Wallets

Chrome Extensions เหล่านี้ถูกค้นพบโดยนักวิจัยจาก PhishFort และ MyCrypto โดย Extensions เหล่านี้ถูกปลอมเเปลงและแฝงมัลแวร์เพื่อใช้ในการขโมยข้อมูลที่เกี่ยวข้องกับ Mnemonic Phrases, Private Keys และ Keystore files ของ Cryptocurrency Wallets จะส่งข้อมูลที่ถูกขโมยไปยังผู้โจมตีผ่านคำขอ HTTP POST นอกจากนี้มัลแวร์ยังใช้เซิร์ฟเวอร์ C2 ที่ไม่ซ้ำกัน 14 แห่ง

ทั้งนี้พบว่าเป็น Extensions ดังกล่าวนั้นเกี่ยวข้องกับ Cryptocurrency ของแบรนด์ดังหลายเจ้าเช่น Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus, และ KeepKey

เมื่อได้รับรายงานนักวิจัยจาก Google ได้ทำการลบ Extensions ดังกล่าวภายใน 24 ชั่วโมง และในเดือนกุมภาพันธ์ Google ได้ทำการลบ Chrome Extensions ที่เป็นอันตรายมากกว่า 500 รายการออกจากเว็บสโตร์หลังจากพบว่ามีการแฝงโค้ดที่เป็นอันตรายเพื่อใช้ขโมยข้อมูลของผู้ใช้งาน

ที่มา: hackread