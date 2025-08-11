Slušaj vest

Više od 150 zlonamernih ekstenzija našlo se u prodavnici dodataka za Firefox, u okviru sofisticirane kriminalne operacije kodnog imena GreedyBear. Napadači su iskoristili popularnost kripto-novčanika kao što su MetaMask, TronLink i Rabby da bi maskirali malver pod plaštom legitimnih alata.

Iza svega stoji dobro organizovana i tehnički napredna mreža sajber prevaranata koji su, kako navodi firma Koi Security, od korisnika ukrali preko milion dolara, ciljano prateći njihove lozinke, IP adrese i druge poverljive informacije.

Foto: Shutterstock

Kako su prošli bezbednosne provere?

Maliciozne ekstenzije su prvo objavljivane u "čistoj" verziji, bez zlonamernog koda, što im je omogućilo da prođu bezbednosne provere Mozille. Nakon što su dobile dozvolu, programeri bi ih ažurirali i tiho ubacili malver, menjajući imena i vizuelni identitet.

Da bi povećali kredibilitet, napadači su ubacivali lažne pozitivne recenzije, čime su dodatno zavarali korisnike. Tako su zlonamerne ekstenzije često izgledale identično kao originali - sve do trenutka kada bi pokrenule krađu podataka.

Foto: Shutterstock

Od keyloggera do profilisanja žrtava

U pozadini, ove ekstenzije su se ponašale kao keyloggeri - beležile sve što korisnik unese u forme i iskačuće prozore unutar pregledača. Informacije su zatim automatski slane serverima pod kontrolom napadača.

Pored lozinki i ličnih podataka, beležene su i IP adrese korisnika, što ukazuje na dodatne aktivnosti praćenja i profilisanja žrtava. Time se otvara prostor za dalje napade, uključujući ciljana krađu identiteta ili finansijskih sredstava.

Foto: Shutterstock

Lažni sajtovi i piratske mreže

GreedyBear kampanja nije ostala zatvorena samo unutar Firefox ekosistema. Zlonamerni sadržaji distribuirani su i putem piratskih sajtova na ruskom jeziku, kao i preko lažnih verzija sajtova poput Trezora i Jupiter Walleta.

Više od 500 različitih varijanti malvera je zabeleženo - od infostealera, preko trojanaca, pa sve do ransomware-a. Istraživači su sve njih povezali sa jednom IP adresom - 185.208.156.66, koja je služila kao komandno-kontrolni centar kampanje.

Foto: Shutterstock

Nova meta: Chrome Web Store

Nakon što su kompromitovane ekstenzije uklonjene iz Firefox prodavnice, istraživači upozoravaju da napadači sada pokušavaju da prošire svoju kampanju i na korisnike Google Chrome-a. Prvi znaci sličnog ponašanja već su detektovani.

Zanimljivo je da kod malvera ukazuje na korišćenje veštačke inteligencije, što je napadačima omogućilo da brzo prilagođavaju i distribuiraju nove verzije zlonamernih dodataka, uz minimalni trud i visoku efikasnost.

Foto: Shutterstock

Kako da se zaštitite od ovakvih prevara: Uvek instalirajte ekstenzije sa zvaničnih sajtova projekata, ne sa pretrage.

Proverite recenzije i broj preuzimanja, ali i ko je izdavač ekstenzije.

Izbegavajte sve što dolazi sa piratskih sajtova ili foruma nepoznatog porekla.

Ne ignorišite upozorenja pregledača o sumnjivim aktivnostima ekstenzija.

Redovno ažurirajte svoj pregledač i koristite antimalver alatke.