Mozilla, özellikle AMO (addons.mozilla.org) hesaplarını hedefleyen sofistike bir kimlik avı kampanyasının tespit edilmesinin ardından geliştirici topluluğuna acil bir güvenlik uyarısı yayınladı.
Scott Devaney liderliğindeki şirketin güvenlik ekibi, 1 Ağustos 2025’te siber suçluların, geliştirici özelliklerine erişimi sürdürmek için hesap güncellemelerini iddia eden aldatıcı e -postalar aracılığıyla geliştirici kimlik bilgilerini aktif olarak uzlaştırmaya çalıştıklarını bildirdi.
Key Takeaways
1. Mozilla detected phishing emails targeting add-on developers.
2. Fake emails use wrong domains (like "mozila") and fail SPF/DKIM/DMARC checks.
3. Only enter credentials on mozilla.org/firefox.com.
Mozilla eklentileri geliştiricilerini hedefler
Kötü niyetli kampanya, resmi Mozilla iletişimleri olarak maskelenen özenle hazırlanmış e-postaları kullanır, genellikle “Mozilla eklentileri hesabınız geliştirici özelliklerine erişmeye devam etmek için bir güncelleme gerektirir” mesajının varyasyonlarını içerir.
Bu sofistike kimlik avı denemeleri, geliştiricilerin Firefox uzantıları ve eklentileri için birincil dağıtım kanalı olarak hizmet veren AMO platformunda yayıncılık ayrıcalıklarına erişim konusunda endişelerini kullanıyor.
Güvenlik araştırmacıları, geliştiricilerin meşru iletişimi hileli olanlardan ayırmalarına yardımcı olabilecek çeşitli teknik göstergeler belirlediler.
Otantik Mozilla e -postaları sadece Firefox.com, Mozilla.org, Mozilla.com ve bunların ilgili alt alanları dahil olmak üzere doğrulanmış alanlardan kaynaklanmaktadır.
Ayrıca, meşru e-postalar, SPF (Gönderen İlkesi Çerçevesi), DKIM (DomainKeys Tanımlı Posta) ve DMARC (Domain Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uyumluluk) kontrolleri dahil olmak üzere temel e-posta kimlik doğrulama protokollerini geçer.
Etkilenen geliştiricilerden elde edilen kanıtlar, bazı kimlik avı e -postalarının, alıcılar için hemen kırmızı bayraklar olarak hizmet etmesi gereken “Mozilla” yerine “Mozila” gibi yanlış yazılmış alan adları da dahil olmak üzere belirgin teknik kusurlar içerdiğini ortaya koymaktadır.
Bu belirgin hatalara rağmen, kampanya en az bir geliştirici hesabını başarıyla tehlikeye attı, bir kurban aldatmayı hızlı bir şekilde gerçekleştirmeden ve uzantılarını silmeden önce “kimlik avı aldatmacasına düştüğünü” bildirdi.
Mozilla Önerileri
Mozilla’nın güvenlik danışmanlığı, geliştiricileri şüpheli iletişimleri ele alırken katı doğrulama prosedürleri uygulamaya çağırarak korumaya çok katmanlı bir yaklaşımı vurgulamaktadır.
Şirket, geliştiricilerin Mozilla’dan geldiğini iddia eden e -postalardaki gömülü bağlantıları asla tıklamamasını, bunun yerine Mozilla.org veya Firefox.com alanlarına doğrudan gezinmeyi savunmamasını önerir.
Kritik güvenlik protokolleri, e -postalardaki bağlantıların etkileşimden önce yalnızca doğrulanmış mozilla alanlarına işaret ettiğini ve Mozilla kimlik bilgilerinin yalnızca resmi mozilla.org veya firefox.com web sitelerine girilmesini içerir.
Şirket ayrıca geliştiricileri, kimlik avı dolandırıcılıklarının tespit ve raporlama konusunda kapsamlı rehberlik için ABD Federal Ticaret Komisyonu ve İngiltere Ulusal Siber Güvenlik Merkezi’nden ek kaynaklara yönlendirdi.
Bu olay, siber suçlular, güvenilir genişleme platformları aracılığıyla kötü amaçlı kodlar dağıtmak için geliştirici hesaplarını giderek daha fazla hedeflediğinden, Webextensions geliştiricilerinin ve daha geniş Mozilla ekosisteminin karşılaştığı artan tehdit manzarasını vurgulamaktadır.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches