Mozilla‘nın Firefox eklenti mağazasında Coinbase, MetaMask ve Trust Wallet gibi popüler cüzdan uygulamalarını taklit eden 40’tan fazla sahte eklentinin hala yayında olduğu tespit edildi. Koi Security’nin 2 Temmuz 2025 tarihli raporuna göre bu eklentiler kullanıcıların kripto para cüzdanı kimlik bilgilerini gizlice toplayarak varlıklarını riske atıyor. Araştırmacılar sahte eklenti kampanyasının en az Nisan ayından bu yana sürdüğünü ve yeni eklentilerin geçen hafta mağazaya yüklendiğini doğruladı. Yüzlerce sahte beş yıldızlı yorumlar ise eklentilere yapay güven kazandırıyor.
Sahte Eklentiler Firefox Mağazasını Ele Geçirdi
Eklentiler MetaMask gibi önde gelen kripto para cüzdan hizmetlerinin resmi logosu ve açıklamalarını kopyalayarak meşru bir görüntüde sunuluyor. Mağaza arama sonuçlarında popüler anahtar kelimelerle üst sıralara çıkan eklentilerin indirme sayısı hızla artıyor. Kurulum tamamlandığında tarayıcı arayüzü gerçek uygulamaya benzese de gömülü script’ler özel anahtar ve kurtarma ifadelerini yakalayarak saldırgan sunuculara gönderiyor.
Koi Security, zararlı kodun kapalı kaynak JavaScript modüllerine gizlenmesi sayesinde otomatik taramadan kaçtığını bildirdi. Eklentiler, Firefox’un izin yönetimini kötüye kullanarak geniş ağ izleme hakları talep ediyor ve kullanıcının her yeni sekmede girdiği parolayı yakalayabiliyor. Tek bir cüzdan eklentisi kurduğunu düşünen mağdur gerçekte çok sayıda komut dosyasının hedefi oluyor.
Rusça İzler Saldırganları Ele Verdi
Raporda zararlı eklentilere bağlı komuta-kontrol sunucularında barındırılan PDF dosyalarında ve kaynak kodu notlarında Rusça dilinde yorumlar bulunduğu vurgulandı. Güvenlik araştırmacıları bu ipuçlarının sahte eklenti kampanyasının Rusça konuşan bir tehdit aktörüne işaret ettiğini ancak kesin kanıt oluşturmadığını belirtti. Yine de coğrafi saat damgaları, dosya yolları ve hata mesajları aynı dili işaret ederek bulguları güçlendiriyor.
Daha da önemlisi Nisan ayında başlayan ilk dalgadan bu yana 60’tan fazla sürümün yüklendiği ve son zararlı yüklemenin yalnızca bir hafta önce gerçekleştiği kaydedildi. Sürekli güncellenen eklentiler algılama imzası ortaya çıktığında isim değiştirip yeniden yayınlanarak izlerini siliyor. Koi Security, Firefox mağazasının halen bazı kopyaları kaldırmadığını ve kullanıcıların yalnızca resmi sitelerden yönlendirilmiş bağlantılar üzerinden eklenti yükselmesini tavsiye etti.
