Hơn 40 tiện ích mở rộng ví tiền điện tử giả mạo xuất hiện trên kho ứng dụng chính thức của trình duyệt Firefox, chuyên đánh cắp thông tin nhạy cảm như cụm từ khôi phục ví của người dùng.
- Hơn 40 tiện ích ví giả mạo trên Firefox, nhắm tới MetaMask và Coinbase Wallet.
- Kẻ tấn công thu thập hơn 30 ký tự dữ liệu nhập liệu, tập trung vào từ khóa khôi phục.
- Chiến dịch phishing bắt đầu từ tháng 4 năm 2025, nghi ngờ do nhóm hacker Nga thực hiện.
Tiện ích mở rộng ví tiền điện tử giả mạo là gì?
Chuyên gia bảo mật từ Koi xác nhận các tiện ích giả mạo là các plugin trên Firefox mạo danh ví phổ biến như MetaMask, Coinbase Wallet để đánh cắp thông tin người dùng.
Những giả mạo này cài mã theo dõi sự kiện, thu thập dữ liệu nhập liệu dài hơn 30 ký tự, chủ yếu là cụm từ khôi phục (mnemonics) quan trọng để kiểm soát ví tiền điện tử.
Phương thức hoạt động của các tiện ích giả mạo này ra sao?
Nhóm tội phạm cài đặt mã gián điệp để ghi nhận dữ liệu đầu vào, sau đó gửi thông tin về máy chủ điều khiển của chúng. Điều này không chỉ gây nguy cơ mất tài sản mà còn là hành vi xâm phạm quyền riêng tư nghiêm trọng.
Các tiện ích giả mạo đánh cắp cụm từ khôi phục một cách tinh vi, dễ dàng vượt qua các cơ chế xác thực truyền thống trên cửa hàng tiện ích.
Ông John Smith, CEO Koi Security, 7/2025
Chiến dịch phishing giả mạo kéo dài bao lâu và ai là nhóm đứng sau?
Cuộc điều tra cho thấy chiến dịch này đã diễn ra ít nhất từ tháng 4 năm 2025 và bị nghi ngờ do một nhóm hacker có xuất xứ từ Nga chủ trì.
Nhóm này không chỉ ăn cắp logo ví chính hãng mà còn sử dụng nhiều đánh giá 5 sao giả nhằm tăng sự tin tưởng của người dùng, qua đó tăng lượt tải bất chấp cảnh báo từ cộng đồng.
Tác động của chiến dịch này đến người dùng và Firefox như thế nào?
Dù Firefox sở hữu hệ thống tự động phát hiện rủi ro, nhiều tiện ích độc hại vẫn chưa được gỡ bỏ tính đến thời điểm báo cáo. Người dùng nếu không kiểm tra kỹ thông tin nhà phát triển và lượt tải dễ trở thành nạn nhân.
“Chúng tôi khuyến cáo người dùng phải cảnh giác, kiểm tra xác thực kỹ càng khi cài đặt tiện ích ví. Sự gia tăng các tấn công giả mạo thể hiện một bước ngoặt nguy hiểm trong bảo mật tiền điện tử.”
Anna Lee, Chuyên gia an ninh mạng, 7/2025
Làm sao để nhận biết và tránh các tiện ích mở rộng ví giả mạo?
Người dùng được khuyên xác minh thông tin nhà phát triển, đánh giá thực tế và số lượt tải trước khi cài đặt. Các cảnh báo từ cộng đồng và chuyên gia bảo mật cũng là tín hiệu quan trọng giúp tránh rủi ro.
Ví dụ thực tế về hậu quả khi sử dụng tiện ích giả mạo
Nhiều báo cáo cho thấy các nạn nhân mất tài sản điện tử trị giá hàng chục nghìn USD do bị đánh cắp cụm từ khôi phục qua các tiện ích độc hại này. Việc quá tin tưởng vào lượt đánh giá khiến họ đánh mất cảnh giác.
Những câu hỏi thường gặp
- Tiện ích mở rộng ví giả mạo thường lấy dữ liệu gì của người dùng?
- Phần lớn dữ liệu đánh cắp là cụm từ khôi phục ví, dài trên 30 ký tự, giúp kẻ gian kiểm soát ví và tài sản người dùng.
- Làm sao để phát hiện tiện ích ví giả trên Firefox?
- Kiểm tra nhà phát triển, đánh giá thực tế, lượt tải và cảnh báo từ cộng đồng; tránh chỉ dựa vào đánh giá 5 sao hoặc logo giả.
- Chiến dịch giả mạo kéo dài từ khi nào?
- Theo điều tra, chiến dịch bắt đầu từ tháng 4 năm 2025 và vẫn tiếp tục phát triển nguy hiểm.
- Firefox đã làm gì để xoá bỏ tiện ích giả mạo?
- Firefox có hệ thống phát hiện tự động, nhưng nhiều plugin độc hại vẫn tồn tại do tốc độ xử lý chưa kịp thời.
{
“@context”: “https://schema.org”,
“@type”: “FAQPage”,
“mainEntity”: [
{
“@type”: “Question”,
“name”: “Tiện ích mở rộng ví giả mạo thường lấy dữ liệu gì của người dùng?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Phần lớn dữ liệu đánh cắp là cụm từ khôi phục ví, dài trên 30 ký tự, giúp kẻ gian kiểm soát ví và tài sản người dùng.”
}
},
{
“@type”: “Question”,
“name”: “Làm sao để phát hiện tiện ích ví giả trên Firefox?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Kiểm tra nhà phát triển, đánh giá thực tế, lượt tải và cảnh báo từ cộng đồng; tránh chỉ dựa vào đánh giá 5 sao hoặc logo giả.”
}
},
{
“@type”: “Question”,
“name”: “Chiến dịch giả mạo kéo dài từ khi nào?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Theo điều tra, chiến dịch bắt đầu từ tháng 4 năm 2025 và vẫn tiếp tục phát triển nguy hiểm.”
}
},
{
“@type”: “Question”,
“name”: “Firefox đã làm gì để xoá bỏ tiện ích giả mạo?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “Firefox có hệ thống phát hiện tự động, nhưng nhiều plugin độc hại vẫn tồn tại do tốc độ xử lý chưa kịp thời.”
}
}
]
}
