40개 이상의 가짜 Firefox 지갑 확장 프로그램이 MetaMask 및 Coinbase와 같은 잘 알려진 지갑 앱을 복제하여 암호화 시드 문구와 IP를 훔치고 있습니다.

해커들이 악성 확장 프로그램으로 암호화폐 사용자를 노리면서 가짜 지갑이 파이어폭스 스토어에 넘쳐납니다.

해커들이 실제와 매우 유사한 모방 앱을 사용하여 공격을 강화함에 따라, 암호화폐 사용자들이 Firefox에 가짜 지갑 확장 프로그램을 설치하도록 유인되고 있습니다.

메타마스크, 코인베이스 월렛, 트러스트 월렛, 팬텀, 엑소더스 등 주요 지갑 브랜드를 사칭하는 사기성 확장 프로그램이 최소 40개 이상 발견되었으며, 일부는 여전히 공식 Firefox 애드온 스토어에서 다운로드할 수 있습니다.

2025년 4월경부터 활동한 이 악성 캠페인은 사이버 보안 업체인 Koi Security가 사용자의 시드 문구를 훔쳐 공격자가 제어하는 서버로 데이터를 전송하는 클론의 수가 증가하고 있다고 폭로한 바 있습니다.

새로운 가짜 앱이 계속 등장하기 때문에 제거 노력에도 불구하고 작업 속도가 느려질 조짐은 보이지 않습니다.

가짜 지갑이 진짜처럼 보이는 앱으로 사용자를 속이는 방법

공격자는 합법적인 지갑 프로젝트의 오픈 소스 코드를 사용하여 여전히 정품 앱처럼 작동하는 확장 프로그램에 자체 악성 로직을 주입했습니다.

로고, 브랜드, 지갑 기능까지 모방한 확장 프로그램은 진짜처럼 보였기 때문에 사용자가 사기임을 알아차리기가 훨씬 어려웠습니다.

코이 시큐리티의 분석 결과, 이 가짜 확장 프로그램이 설치되면 즉시 지갑 자격 증명과 사용자 IP 주소를 추출한 다음 공격자 서버로 전송되는 것으로 확인되었습니다.

어떤 경우에는 확장 프로그램이 공식 도구와 매우 유사하기 때문에 오랜 기간 동안 탐지되지 않은 채로 남아 있었습니다.

출처:Koi 보안

이러한 악성 앱 중 상당수는 수백 개의 가짜 별 5개짜리 리뷰로 채워져 인기 있고 신뢰할 수 있는 것처럼 보이게 하는 등 속임수를 더했습니다.

Koi에 따르면 이 전략은 낮은 평점과 스팸 플래그와 같은 신호에 의존하는 Mozilla의 자동 탐지 시스템을 통해 사기성 확장 프로그램을 통과하는 데 도움이 되었습니다.

Firefox가 악성 확장 프로그램을 제거하기에 충분한가요?

Mozilla는 이 상황에 대한 공식 성명을 발표하지 않았습니다.

그러나 확장 팀의 블로그 게시물에 따르면 다음과 같이 언급했습니다:

"지갑 확장 프로그램이 특정 위험 임계값에 도달하면 인간 검토자에게 경고를 보내 더 자세히 살펴보도록 합니다. 악의적인 것으로 확인되면 사기 확장 프로그램은 즉시 차단됩니다."

이러한 내부 메커니즘에도 불구하고 가짜 앱은 여전히 지속적인 문제로 남아 있습니다.

가짜 확장 프로그램 중 하나에서 브랜드를 도용당한 OKX는 이미 지난 1월에 사용자들에게 파이어폭스 지갑을 게시한 적이 없다고 경고한 바 있습니다.

회사는 사용자에게 의심스러운 플러그인을 설치한 경우 자금을 인출하고 Mozilla에 공식적으로 불만을 제기할 것을 촉구했습니다.

암호화폐 지갑으로 위장한 가짜 Firefox 확장 프로그램 (출처:GitHub )

악성 코드에서 발견된 러시아 기원 단서

Koi의 조사 결과 공격의 발원지가 러시아어를 사용하는 위협 그룹으로 밝혀졌습니다.

증거로는 러시아어로 작성된 코드 주석과 명령 및 제어 서버 중 하나의 메타데이터가 있습니다.

공격자의 인프라는 여전히 활동 중이며, 일부 클론은 공식 스토어에서 삭제되었음에도 불구하고 비공식 웹사이트를 통해 여전히 배포되고 있습니다.

슬로우미스트를 포함한 다른 회사들도 사용자에게 공격이 계속되고 있다고 경고하는 경고를 보냈습니다.

특히 출처를 확인하지 않고 지갑 도구를 검색한 사용자들은 "이미 많은 사용자들이 손실을 보고했다"고 강조했습니다.

광범위한 공격으로 2025년 암호화폐 도난, 22억 달러 규모에 달할 전망

이번 캠페인은 암호화폐 관련 침해 사고가 급증하는 가운데 진행되었습니다.

CertiK의 최신 보고서에 따르면 2025년 상반기에만 총 암호화폐 손실액이 24억 7천만 달러를 넘어섰습니다.

지갑 관련 공격은 34건의 사건에서 무려 17억 달러에 달했으며, 피싱 사기로 인해 4억 1천만 달러의 피해가 발생했습니다.

이더리움은 175건의 사고로 16억 달러의 손실을 입으며 계속해서 가장 큰 표적이 되고 있습니다.

올해 최대 규모의 단일 도난 사건은 2월에 스마트 컨트랙트 익스플로잇으로 인해 바이비트가 15억 달러가 넘는 이더리움과 메가이더리움을 잃은 사건입니다.

사기범들은 브라우저 기반 공격 외에도 하드웨어 지갑을 노리고 있습니다.

중국에서는피해자가 더우인을 통해 가짜 콜드월렛을 구입한 후 700만 달러를 잃었습니다. (틱톡의 본토 버전)에 알려진 개인 키가 미리 로드되어 있습니다.

한편, 맥OS 사용자들은 수천 개의 손상된 웹사이트를 통해 확산되는 멀웨어가 포함된 레저 라이브 클론으로 인해 피해를 입었습니다.

일부 공격자는 우편 서비스를 통해 Ledger를 사칭한 가짜 편지를 보내 사용자가 악성 QR 코드를 스캔하도록 속이는 실제 우편 사기까지 감행했습니다.

규제가 정교한 암호화 위협을 따라잡을 수 있을까요?

암호화폐 도입이 확산됨에 따라 위험도 커지고 있습니다.

최근 발생한 Firefox 지갑 사기는 단순한 경각심을 일깨우는 것이 아니라 공격자들이 대부분의 보안 프레임워크가 대응할 수 있는 속도보다 더 빠르게 움직이고 있다는 신호입니다.

복제된 오픈소스 도구와 가짜 소셜 증명 및 완벽한 설계가 결합된 사례는 공격자가 신뢰를 얼마나 쉽게 무기화할 수 있는지를 보여줍니다.

앱 스토어와 암호화폐 플랫폼이 확장 프로그램 인증 방식을 개편하지 않는 한, 이러한 유형의 침해는 지속적인 위협으로 남을 것이며, 업데이트 한 번으로 모든 것이 유출될 수도 있습니다.