TL;DR
- Lebih dari 40 ekstensi Firefox jahat yang disebut “FoxyWallet” meniru MetaMask, Coinbase Wallet, Trust Wallet, dan lainnya di toko Mozilla, mencuri frase biji dan kunci pribadi setelah diinstal.
- Penyerang memanfaatkan penilaian bintang lima palsu dan terus-menerus mengubah ID ekstensi, menyuntikkan skrip tersembunyi dan pemuat kode jarak jauh untuk menghindari deteksi dan mencuri kredensial.
- Untuk menghindari kehilangan dana secara instan, pengguna harus menghapus add-on dompet yang tidak resmi, mengganti atau memigrasi ke dompet baru, mengadopsi penyimpanan kunci perangkat keras, dan mendesak Mozilla Firefox untuk melakukan tinjauan ekstensi yang lebih ketat.
Peneliti keamanan di Koi Security telah mengungkap operasi phishing besar-besaran yang mereka sebut “FoxyWallet.” Setidaknya 40 ekstensi Firefox berbahaya secara diam-diam berpura-pura sebagai dompet cryptocurrency terkenal, termasuk MetaMask, Coinbase Wallet, Trust Wallet, dan Exodus.
Setiap add-on Firefox menjanjikan integrasi yang mulus dengan layanan yang sama, hanya untuk menyedot frasa benih dan kunci pribadi setelah pengguna mengklik “Instal.” Penyelidikan mendalam Koi mengungkapkan bahwa banyak dari penipu ini aktif di toko Add-on Mozilla Firefox resmi, memangsa sejumlah besar pemegang kripto yang tidak curiga.
Teknik Peniruan yang Canggih
Ekstensi-ekstensi ini tidak hanya bergantung pada ikon yang dicuri dan nama yang dapat dipasarkan. Mereka memanfaatkan penilaian bintang lima palsu dan ulasan yang mengagumkan, beberapa di antaranya mencapai ratusan, untuk menenangkan pengguna dalam rasa aman yang salah. Investigasi KOI mengonfirmasi bahwa kampanye ini telah berjalan sejak April 2025, dengan varian baru muncul bahkan baru-baru ini.
Di balik layar, pelaku ancaman terus-menerus menyesuaikan metadata, mengganti ID ekstensi dan mengubah komentar kode, beberapa dalam bahasa Rusia, untuk menghindari deteksi otomatis dan memperpanjang operasi mereka.
Di Dalam Mekanisme Pencurian Kredensial
Setelah diinstal, setiap klon FoxyWallet menyuntikkan skrip konten tersembunyi ke setiap tab browser. Skrip ini mendengarkan interaksi dompet, entri kata sandi, ekspor akun, dan permintaan tanda tangan, dan diam-diam meneruskan detail sensitif ke server perintah dan kontrol jarak jauh.
Analisis Koi Security mengungkapkan sebuah pemuat kode jarak jauh, yang berarti para penyerang dapat mengirimkan pembaruan diam-diam untuk memperpanjang fungsionalitas atau menargetkan antarmuka dompet baru. Desain modular ini memastikan kampanye tetap gesit, lolos dari analisis statis standar dan menipu bahkan pengguna yang waspada.
Dampak Pengguna dan Rekomendasi Keamanan
Korban penipuan ini berisiko kehilangan seluruh saldo kripto mereka dalam hitungan menit. Untuk melindungi diri dari FoxyWallet dan sejenisnya, perusahaan keamanan mendesak pengguna untuk segera memeriksa ekstensi yang diinstal, menghapus alat dompet yang tidak diunduh langsung dari situs proyek resmi.
Para ahli juga merekomendasikan untuk memindahkan dana ke dompet baru, memutar frasa benih, dan memanfaatkan perangkat keras untuk penyimpanan kunci pribadi. Di sisi yang lebih luas, Koi mendesak Mozilla Firefox untuk memperketat proses peninjauan ekstensi, menandai pola peninjauan yang mencurigakan dan memblokir pemuat kode jarak jauh.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
