Sahte Firefox Eklentileriyle Kripto Cüzdanlara Saldırı: 40’tan Fazla Zararlı Eklenti Tespit Edildi
Koi Security’nin son raporuna göre, 40’tan fazla sahte Firefox uzantısı büyük kripto cüzdanlarını taklit ederek kullanıcı bilgilerinin çalınmasına neden oluyor.
- Sahte eklenti kampanyasının yapısı ve hedefi
- Hangi cüzdanlar hedef alındı?
- Uzantıların güven inşa etme yöntemleri
- Kampanyanın süresi ve devamlılığı
- Tehdit aktörlerinin kimliği ve olası kökeni
- Kullanıcılar için riskler ve alınması gereken güvenlik önlemleri
Sahte Güvenlik Algısıyla Gerçek Tehdit: Kripto Cüzdanlar Firefox Eklentileri Üzerinden Hedef Alınıyor
2025 yılının en dikkat çekici siber güvenlik tehditlerinden biri, tarayıcı tabanlı kripto cüzdan saldırılarında yaşanıyor. Koi Security tarafından yayınlanan yeni bir rapora göre, Mozilla Firefox’un eklenti mağazasında listelenmiş 40’tan fazla sahte uzantı, kullanıcıların kripto cüzdan bilgilerini çalmak amacıyla hazırlanmış durumda. Bu zararlı yazılımlar, Hyperliquid gibi merkeziyetsiz finans ekosistemlerine olan güvenin nasıl kötüye kullanılabileceğini de gözler önüne seriyor.
Sahte Eklentilerin Yapısı ve Stratejisi
Söz konusu sahte uzantılar, başta Coinbase, MetaMask ve Trust Wallet olmak üzere, kullanıcıların güvenini kazanmış büyük kripto cüzdan servislerini taklit ediyor. Yüzeyde, bu uzantılar orijinal görünüyor: logolar, açıklamalar ve arayüzler birebir kopyalanmış durumda. Ancak kullanıcılar bu eklentileri tarayıcılarına yüklediklerinde, siber saldırganlar cüzdan şifrelerini, tohum (seed) ifadelerini ve özel anahtarlarını arka planda ele geçiriyor.
Hedeflenen Cüzdanlar Arasında Kimler Var?
Kampanyanın genişliği oldukça dikkat çekici. Sahte uzantıların hedef aldığı cüzdanlar arasında şunlar bulunuyor:
MetaMask, Coinbase, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet, Filfox.
Bu cüzdanlar, özellikle DeFi platformlarıyla entegre çalışan kullanıcıların günlük dijital varlık yönetiminde yoğunlukla kullandığı araçlar arasında yer alıyor.
Sahte Güven Yorumları ile Kullanıcıların Kandırılması
Koi Security raporu, bu kötü niyetli uzantıların kullanıcıların güvenini kazanmak için sahte 5 yıldızlı yorumlarla dolu olduğunu ortaya koyuyor. Bazı uzantılar, yüzlerce olumlu yorumla birlikte mağazada yer alıyor ve gerçekmiş izlenimi veriyor. Bu durum, kullanıcıların temel güvenlik denetimlerini atlayarak kurulum yapmasına neden oluyor.
Bu tarz yorum manipülasyonu, yalnızca bireysel kullanıcıları değil, büyük portföylere sahip kurumsal yatırımcıları da tehlikeye atıyor. Özellikle hyperliquid, merkeziyetsiz borsa, cüzdan entegrasyonu, risk yönetimi, güvenlik protokolleri gibi anahtar kavramlar, bu tarz saldırılarla birlikte yeniden sorgulanmaya başlanmış durumda.
Saldırı Aktif: Uzantılar Hâlâ Yayında
Rapora göre saldırı 2025 Nisan ayından beri aktif olarak sürdürülüyor. Dahası, geçen haftaya kadar yeni uzantılar Firefox mağazasına yüklenmeye devam etmiş. Bu, saldırganların planlı, uzun soluklu ve ısrarcı bir yaklaşım benimsediğini gösteriyor.
Bu noktada akıllara gelen soru şu: Mozilla’nın denetim mekanizmaları neden yeterli olmadı?
Her ne kadar uzantılar manuel olarak incelense de, saldırganlar sosyal mühendislik ve kod manipülasyonu ile denetim süreçlerini aşabiliyor.
Tehdit Aktörleri Kim?
Koi Security tarafından yapılan teknik analizler, saldırının arkasında Rusça konuşan bir aktör grubunun olabileceğini öne sürüyor. Bunu destekleyen bulgular arasında:
- Kod yorumlarının Rusça olması
- Komut kontrol (C2) sunucularında barındırılan PDF dosyalarının meta verilerinde Rusça dil kullanımı
Ancak firma, bu bulguların henüz kesin olmadığını ve dikkatle değerlendirilmesi gerektiğini de belirtiyor.
Güvenlik Açıkları ve Kullanıcılar İçin Riskler
Bu tür saldırılar, bireysel yatırımcılar ve kurumlar için yalnızca finansal değil, aynı zamanda yapısal güvenlik riskleri de barındırıyor.
Kripto ekosisteminde güvenlik, artık yalnızca şifre saklama ile sınırlı değil. Tarayıcı uzantıları, API izinleri, kullanıcı alışkanlıkları, merkeziyetsiz platformlara erişim yolları gibi çok katmanlı bir koruma anlayışı gerekli.
Özellikle hyperliquid kullanıcıları, borsa bağlantılarını yaparken yalnızca resmi siteler üzerinden yönlendirme yapmalı, üçüncü parti uzantılar konusunda ekstra dikkatli olmalıdır.
Güvenlik İçin Atılması Gereken Adımlar
- Eklenti yüklemeden önce orijinalliği araştırın: Resmi kaynaklardan doğrulama yapılmadan uzantı yüklemeyin.
- Yorumlara değil, uzantı sahibine odaklanın: Yüzlerce 5 yıldızlı yorum bile aldatıcı olabilir.
- Seed phrase asla bir uzantıya girilmemeli: Bu bilgi yalnızca güvenilir, çevrimdışı ortamlarda tutulmalı.
- Antivirüs ve tarayıcı güvenlik denetimlerini kullanın: Tüm bağlantılar zararlı yazılım taramasından geçirilmeli.
- Hyperliquid ve benzeri platformlara erişimde manuel adres doğrulaması yapın.
Sonuç: Teknoloji Gelişiyor, Tehditler de Öyle
Kripto dünyası büyüdükçe, beraberinde güvenlik riskleri de büyüyor. Özellikle kullanıcı alışkanlıklarına oynayan bu tarz saldırılar, yalnızca teknik önlemlerle değil, kullanıcı eğitimiyle de bertaraf edilebilir.
Firefox eklentileri üzerinden yürütülen bu saldırı dalgası, merkeziyetsizliğin sunduğu özgürlük kadar, kullanıcı sorumluluğunu da beraberinde getirdiğini bir kez daha ortaya koyuyor.
Uyarı: Paylaşılan haberler, veri ve grafikler bilgi amaçlı olup yatırım tavsiyesi ya da danışmanlığı kapsamında değerlendirilemez. Bunun yanı sıra haber ve materyallerin al ya da sat yönünde bir telkinde bulunmak gibi bir işlevi ve misyonu da bulunmamaktadır. Kişilerin kişisel araştırma yapmaları kendi sorumlulukları olup, detaylı araştırmanın yatırım öncesi önemli bir şart olduğunu öneririz.
İçerik ve görseller YZ yardımıyla oluşturulmaktadır.
Ayrıca, kripto paraların doğası gereği yüksek risk barındırdığı göz önünde bulundurularak hareket edilmelidir. Risksiz kazanç hiçbir sektörde olmadığı gibi, kripto paralar özelinde de yoktur.
