เตือนผู้ใช้ไฟร์ฟอกซ์ควรระวัง! ส่วนขยายปลอมขโมยคริปโตระบาดหนัก

ผู้ใช้งาน *ไฟร์ฟอกซ์(Firefox)* ที่ถือครอง *คริปโตเคอร์เรนซี* ควรเพิ่มความระมัดระวังในขณะนี้ หลังบริษัทความปลอดภัยทางไซเบอร์ โคอิ ซิเคียวริตี้(Koi Security) ตรวจพบการแพร่กระจายของส่วนขยายอันตรายบนเบราว์เซอร์ ซึ่งมีเป้าหมายเจาะข้อมูลกระเป๋าเงินดิจิทัลของผู้ใช้อย่างกว้างขวาง

เมื่อวันที่ 24 โคอิ ซิเคียวริตี้ รายงานว่า กลุ่มผู้ไม่ประสงค์ดีได้อัปโหลดส่วนขยายที่ปลอมแปลงเป็นกระเป๋าเงินดิจิทัลชื่อดัง เช่น *คอยน์เบส*, *เมตามาสก์*, *ทรัสต์วอลเล็ต*, *แฟนทอม* และ *โอเคเอ็กซ์* มากกว่า 40 รายการบนร้านส่วนขยายของ *มอซิลลา(Mozilla)* โดยภายในแฝงโค้ดที่สามารถส่งข้อมูลของผู้ใช้งานไปยังเซิร์ฟเวอร์ของแฮกเกอร์แบบเงียบ ๆ

โคอิ ซิเคียวริตี้ระบุว่า การโจมตีนี้เริ่มต้นขึ้นตั้งแต่เดือนเมษายนที่ผ่านมา และยังคงตรวจพบการอัปโหลดไฟล์อันตรายใหม่อย่างต่อเนื่อง ส่วนขยายเหล่านี้มีความสามารถในการส่งข้อมูล IP ของผู้ใช้ และสกัดกุญแจลับของกระเป๋าเงินจากเว็บไซต์ต่าง ๆ ที่ผู้ใช้เข้าเยี่ยมชม ทำให้สามารถติดตามรายการธุรกรรมและครอบครอง *คริปโตเคอร์เรนซี* ได้อย่างแม่นยำ

"ความคิดเห็น": หน่วยงานความปลอดภัยชี้ให้เห็นว่า แฮกเกอร์ใช้วิธีหลอกลวงผู้ใช้ด้วยรีวิวเชิงบวกจำนวนมาก เพื่อดันลำดับของส่วนขยายให้สูงขึ้นในผลการค้นหา ทำให้ดูน่าเชื่อถือและได้รับความไว้วางใจจากผู้ใช้งาน *ไฟร์ฟอกซ์* แบบไม่รู้ตัว

เบื้องหลังของส่วนขยายปลอมเหล่านี้คือการคัดลอกโค้ดจากกระเป๋าเงินแบบโอเพนซอร์ซ แล้วแทรกมัลแวร์เข้าสู่แบ็กเอนด์ โดยไม่กระทบต่อการใช้งานปกติ ทำให้ผู้ใช้งานส่วนใหญ่ไม่รู้ตัวว่าข้อมูลของตนกำลังถูกขโมยไปอย่างเงียบ ๆ

โคอิ ซิเคียวริตี้ เตือนให้ผู้ใช้ลบส่วนขยายดังกล่าวทันทีและเปลี่ยนกุญแจลับของกระเป๋าเงิน โดยระบุว่าการโจมตีมีลักษณะเป็นการดำเนินงานแบบ ‘อาชญากรรมไซเบอร์ระดับองค์กร’ จากการตรวจสอบโครงสร้างเซิร์ฟเวอร์ โค้ด และเทคนิคการแฮก พร้อมประกาศว่ากำลังร่วมมือกับ *มอซิลลา* เพื่อลบส่วนขยายเหล่านี้ออกจากระบบ และป้องกันไม่ให้มีการอัปโหลดซ้ำในอนาคต

สิ่งที่น่าสนใจคือ ในโค้ดของส่วนขยายถูกพบคำอธิบายเป็นภาษารัสเซีย รวมถึงเมทาดาตาในไฟล์ PDF ภายในเซิร์ฟเวอร์ของแฮกเกอร์ ซึ่งอาจบ่งชี้ว่าเป็นฝีมือของกลุ่มแฮกเกอร์ที่ใช้ภาษารัสเซีย อย่างไรก็ตาม โคอิ ซิเคียวริตี้ยังไม่ตัดสินว่าเป็นพยานหลักฐานชัดเจน และรอการตรวจสอบเพิ่มเติม

เหตุการณ์นี้คล้ายคลึงกับแคมเปญฟิชชิงที่เชื่อมโยงกับรัสเซียในช่วงหลายเดือนที่ผ่านมา *สโลว์มิสต์(SlowMist)* บริษัทความปลอดภัยบล็อกเชนเคยเปิดโปงกรณีที่กลุ่มแฮกเกอร์ใช้ลิงก์ *Zoom* ปลอมโจมตีผู้ใช้งาน โดยข้อมูลในโค้ดยังเชื่อมโยงกับฝั่งรัสเซีย และมีการเปลี่ยนคริปโตที่ขโมยมาเป็น *อีเธอเรียม(ETH)* เพื่อนำไปขายในตลาดแลกเปลี่ยนขนาดใหญ่

"ความคิดเห็น": การโจมตีที่ใช้ส่วนขยายของเบราว์เซอร์เป็นเครื่องมือกำลังเพิ่มขึ้นเรื่อย ๆ เนื่องจากผู้ใช้งานทั่วไปมักตรวจสอบไม่ละเอียด โดยเฉพาะในสภาพแวดล้อมเปิดอย่าง *ไฟร์ฟอกซ์* ผู้เชี่ยวชาญด้านความปลอดภัยชี้ว่า ผู้ใช้งานไม่ควรวางใจเพียงเพราะส่วนขยายอยู่ใน ‘ร้านอย่างเป็นทางการ’ แต่ควรตรวจสอบตัวตนและที่มาของไฟล์อย่างละเอียดก่อนติดตั้งเสมอ