Sahte cüzdan uzantıları mağazaya sızdı
Koi Security’nin bulgularına göre saldırganlar, sahte kripto cüzdanı uzantılarını ilk etapta zararsız görünecek şekilde mağazaya yükledi. Onay aldıktan sonra ise marka ve logoları değiştirip zararlı kod enjekte ettiler.

Kullanıcı bilgileri keylogger ile çalındı
Uzantılara entegre edilen kod, kullanıcıların cüzdan giriş bilgilerini eklenti pencerelerindeki form alanlarından kaydederek saldırganların kontrolündeki uzak sunuculara gönderdi. Ayrıca kurbanların IP adresleri de izlendi.

Sahte sitelerle desteklendi
Kampanyaya paralel olarak, Trezor ve Jupiter Wallet gibi bilinen cüzdan sağlayıcılarını taklit eden çok sayıda sahte web sitesi açıldı. Bu siteler, LummaStealer gibi bilgi hırsızları ve fidye yazılımları dahil 500’den fazla zararlı yazılımın dağıtımını yaptı. Tüm operasyon, 185.208.156.66 IP adresi üzerinden yönetildi.

AI desteğiyle ölçeklendirildi
Araştırmaya göre kampanyada kullanılan kodlarda yapay zekâ izleri görüldü. Bu sayede saldırganların farklı yükler geliştirmesi, tespitten kaçınması ve saldırıları hızla büyütmesi kolaylaştı.

Mozilla eklentileri kaldırdı
Mozilla, şikâyetlerin ardından uzantıları mağazadan kaldırdı. Ancak kampanyanın büyüklüğü, daha önce Haziran 2025’te devreye alınan koruma sistemine rağmen sahte cüzdan uzantılarının hâlâ mağazaya sızabildiğini gösteriyor.

Chrome mağazasına da sıçrayabilir
Koi Security, GreedyBear grubunun Chrome Web Store’a da geçmeyi planladığını ve şimdiden “Filecoin Wallet” adlı sahte bir Chrome uzantısının tespit edildiğini bildirdi.

Kullanıcılar için öneriler
Uzmanlar, eklenti kurmadan önce yayıncı bilgilerini ve kullanıcı yorumlarını kontrol etmeyi, resmi cüzdan projelerinin yalnızca kendi sitelerinden yönlendirdiği bağlantılarla indirilmesini tavsiye ediyor.

Kaynak: CUMHA – CUMHUR HABER AJANSI