Firefox đối mặt nguy cơ bảo mật mới: Hàng chục tiện ích giả mạo ví tiền mã hóa bị phát hiện

Nguy cơ bảo mật mới dành cho người dùng Firefox sở hữu tiền mã hóa

Nếu bạn là người dùng Firefox và đang nắm giữ tiền mã hóa, hãy đặc biệt cẩn trọng trong thời điểm hiện tại. Theo cảnh báo từ công ty an ninh mạng Koi Security ngày 24 (giờ địa phương), một chiến dịch phát tán tiện ích mở rộng độc hại trên trình duyệt Firefox hiện đang lan rộng, với mục tiêu đánh cắp thông tin ví người dùng. Hơn 40 tiện ích giả mạo các ví lớn như Coinbase, MetaMask, Trust Wallet, Phantom và OKX đã được phát hiện, tất cả đều được cài cắm mã nền cho phép chuyển tài sản của nạn nhân tới máy chủ do hacker kiểm soát.

Theo Koi Security, chiến dịch tấn công này đã bắt đầu gia tăng quy mô từ tháng 4 năm 2025, với các tiện ích độc hại liên tục được tải lên kho tiện ích mở rộng của Mozilla. Khi được cài đặt, những tiện ích này sẽ thu thập địa chỉ IP của người dùng, đồng thời âm thầm trích xuất khoá riêng và các thông tin ví tại các trang web nạn nhân truy cập. Hacker từ đó dễ dàng theo dõi hoạt động giao dịch cũng như số dư tiền mã hóa của người dùng.

Đáng chú ý, những tiện ích giả mạo này được đẩy lên vị trí nổi bật nhờ hàng trăm đánh giá “tích cực” giả. Tin tặc đã sao chép mã nguồn của các ví mã hóa mã nguồn mở, sau đó chèn mã độc vào phần nền nhưng vẫn giữ cho tiện ích hoạt động “bình thường” nhằm tránh gây nghi ngờ. Chính sự tinh vi trong việc ngụy trang này đã khiến không ít người dùng rơi vào bẫy mà không hề hay biết.

Theo phân tích của Koi Security, có nhiều dấu hiệu cho thấy đây là hoạt động của một tổ chức tội phạm mạng có tổ chức. Hệ thống máy chủ sử dụng chung, lối viết mã, và kỹ thuật xâm nhập đều điển hình của các nhóm hacker được đào tạo bài bản. Công ty kêu gọi người dùng nên gỡ bỏ ngay các tiện ích đáng nghi, đồng thời thay đổi khóa ví để ngăn ngừa nguy cơ mất tiền. Ngoài ra, Koi Security cũng đang làm việc với Mozilla để gỡ bỏ các tiện ích độc hại này và ngăn chặn việc tải lên thêm trong tương lai.

Một chi tiết đáng quan tâm khác là trong mã nguồn các tiện ích bị nhiễm độc, Koi Security đã phát hiện nhiều đoạn chú thích bằng tiếng Nga cũng như siêu dữ liệu PDF từ máy chủ điều khiển cho thấy khả năng đây là sản phẩm của nhóm hacker nói tiếng Nga. Tuy nhiên, phía công ty cũng nhấn mạnh rằng hiện chưa đủ bằng chứng kết luận chính xác danh tính thủ phạm và cần tiếp tục điều tra.

Vụ việc lần này rất giống với các chiến dịch lừa đảo quy mô lớn liên quan đến hacker Nga từng xuất hiện trong vài tháng trở lại đây. Ví dụ, vào mùa xuân, công ty bảo mật blockchain SlowMist từng vạch trần một chiến dịch sử dụng liên kết họp giả mạo từ Zoom để xâm nhập ví người dùng. Khi đó, tin tặc đã nhanh chóng chuyển tài sản bị đánh cắp sang Ethereum(ETH) và bán ra tại các sàn giao dịch lớn.

Hiện nay, khi ngày càng nhiều người sở hữu tiền mã hóa, các cuộc tấn công nhắm tới ví tiền số cũng trở nên ngày càng tinh vi. Việc sử dụng tiện ích mở rộng trình duyệt – đặc biệt trên nền tảng mở như Firefox – có thể trở thành điểm yếu chí tử, nhất là với những người dùng chủ quan. Các chuyên gia bảo mật khuyến nghị: thay vì chỉ tin tưởng vào "kho tiện ích chính thức", người dùng nên thường xuyên kiểm tra và xác minh rõ nguồn gốc tiện ích mình cài đặt.

Bình luận: Trong bối cảnh tiền mã hóa ngày càng phổ biến và giá trị tài sản số không ngừng tăng lên, việc đảm bảo an toàn ví tiền là ưu tiên hàng đầu. Vụ việc lần này là lời cảnh tỉnh rõ ràng về mối nguy từ những tiện ích tưởng như “an toàn” nhưng lại là công cụ của hacker. Phòng tránh sự cố giờ đây không chỉ là lựa chọn mà là điều bắt buộc với mọi người dùng tiền mã hóa.