Kripto parayla ilgilenen kullanıcıları yakından ilgilendiren bir güvenlik açığı, Mozilla’nın Firefox eklenti mağazasında gündeme geldi. Koi Security adlı güvenlik şirketinin yayımladığı son rapora göre, popüler cüzdan uygulamaları olan Coinbase, MetaMask ve Trust Wallet’ı taklit eden 40’tan fazla zararlı eklenti hâlâ yayında bulunuyor. Bu eklentiler, kullanıcıların cüzdan kimlik bilgilerini gizlice topluyor ve finansal varlıklarını ciddi anlamda tehdit ediyor.
Sahte Eklentilerin Yükselişi
Sahte eklentiler, orijinal uygulamaların simge ve açıklamalarını birebir kopyalayarak mağazada gerçek gibi görünmeyi başarıyor. Özellikle popüler anahtar kelimelerle arama sonuçlarında üst sıralarda yer almaları, binlerce kişinin bu eklentilere yönlenmesine neden oluyor. Kullanıcılar bir cüzdan eklentisini indirdiklerini zannederken, gerçekte bilgisayarlarına zararlı yazılımlar yüklemiş oluyor.
Kurulumdan sonra, bu sahte eklentiler tarayıcı arayüzünde resmî sürümlere oldukça benziyor. Ancak gömülü script’ler vasıtasıyla kullanıcının kurtarma anahtarları ve özel bilgileri, saldırganların kontrolü altındaki uzak sunuculara aktarılıyor. Hatta sahte yorumlarla eklentilere yapay şekilde güven duygusu katılıyor.
Tehditin Kaynağı ve İzleri
Güvenlik araştırmacılarına göre, bu zararlı eklentilerin kodlarının çoğu kapalı ve karmaşık JavaScript modüllerinde gizlenmiş durumda. Böylece otomasyon temelli zararlı yazılım taramalarından kolayca kaçabilmeyi başarıyorlar. Eklentiler,
Firefox’un izinlerini suistimal ederek geniş çaplı veri erişimi sağlıyor ve her yeni sekmede girilen şifreleri de ele geçirebiliyor.
Rapordaki önemli bulgulardan biri ise, komuta-kontrol sunucularında ve kaynak kod notlarında tespit edilen Rusça yorumlar oldu.
Güvenlik uzmanları, saldırganların muhtemelen Rusça konuşan tehdit aktörleri olabileceğini ancak kesin delil bulunmadığını vurguladı.
Saldırganlar, ilk olarak Nisan ayında başladıkları bu kampanyada şimdiye kadar 60’tan fazla eklenti sürümü mağazaya yüklemiş durumda. Tespit edildiklerinde isim değiştirip yeni eklentiler olarak tekrar yayınlamaları dikkat çekiyor. Ayrıca, Firefox mağazası şu ana kadar bütün sahte eklenti klonlarını kaldırmış değil.
Koi Security yetkilileri,
kullanıcıların sadece orijinal sitelerden yönlendirilen resmi bağlantıları tercih etmeleri ve şüpheli eklentilere karşı dikkatli olmaları gerektiği
konusunda uyarıyor. Saldırıların bu denli uzun süre devam etmesi ise eklenti mağazalarının güvenlik süreçlerinin gözden geçirilmesi gerektiğine işaret ediyor.
Kullanıcıların zararlı eklentilerden korunabilmeleri için hem dikkatli olmaları hem de eklenti kaldırma ve güncelleme işlemlerini yalnızca doğrulanmış kaynaklar üzerinden yapmaları öneriliyor. Böylece, dijital varlıklarının güvenliğini daha güçlü şekilde sağlayabilirler.
