Mozilla hat am 1. August eine dringende Warnung an seine Entwicklergemeinschaft herausgegeben: Eine raffinierte Phishing-Kampagne richtet sich gegen Accounts auf der offiziellen Add-on-Plattform AMO (addons.mozilla.org). Betroffen sind insbesondere Entwickler von Browser-Erweiterungen, die über BleepingComputer und das Mozilla-Add-on-Blog auf die Gefahr hingewiesen wurden.
Hintergrund und Risiken
Die AMO-Plattform beherbergt derzeit über 60 000 Erweiterungen und mehr als 500 000 Themes, mit denen Millionen von Firefox-Nutzern weltweit ihren Browser anpassen. Kompromittierte Entwicklerkonten eröffnen Angreifern nicht nur die Möglichkeit, betrügerische oder Malware-infizierte Add-ons einzuschleusen, sondern untergraben auch das Vertrauen der Community in die Sicherheit des Ökosystems.
Typischer Ablauf der Angriffe
Die Phishing-E-Mails erwecken den Anschein, offizieller Mozilla-Kommunikationen zu entstammen. Betroffene berichten, dass der Betreff und der E-Mail-Text Variationen von “Your Mozilla Add-ons account requires an update to continue accessing developer features” enthalten. In den Nachrichten wird mit dem Entzug von Entwicklerrechten gedroht, sollte der Empfänger nicht umgehend über einen eingebetteten Link seine Zugangsdaten eingeben.
Ein erstes Opfer bestätigte, den täuschend echten Login-Screen genutzt zu haben und war überzeugt, über einen offiziellen Mozilla-Dienst eingeloggt zu sein. Ob dadurch jedoch tatsächlich Zugangsdaten abgegriffen wurden, ist bislang nicht abschließend geklärt.
Technische Gegenmaßnahmen
Mozilla empfiehlt Entwicklern dringend, sämtliche E-Mails, die vermeintlich von Mozilla oder AMO stammen, einer genauen Prüfung zu unterziehen:
- Keine Links in der E-Mail anklicken.
- Absenderadresse prüfen: Nur Domains
firefox.com,mozilla.orgodermozilla.comgelten als vertrauenswürdig. - Authentifizierungschecks aktivieren und verifizieren: SPF, DKIM und DMARC müssen bestanden sein.
- Links in E-Mails vor dem Öffnen manuell kontrollieren oder besser direkt die offizielle AMO-Seite im Browser aufrufen.
- Anmeldedaten ausschließlich auf offiziell verifizierten Mozilla- oder Firefox-Domains eingeben.
Im Schatten der Krypto-Bedrohung
Parallel zu dieser Phishing-Kampagne intensiviert sich die Bedrohung durch bösartige Wallet-Erweiterungen. Laut Mozilla hat das Add-on-Operations-Team in den letzten Jahren Hunderte problematischer Extensions aus dem AMO-Store entfernt. Unbekannte Angreifer haben im Jahr 2024 durch Wallet-Draining-Attacken rund 494 Millionen US-Dollar erbeutet und dabei über 300 000 Krypto-Adressen kompromittiert.
Expertenmeinung und Community-Reaktionen
Der unabhängige Sicherheitsforscher Lukasz Olejnik warnt vor der zunehmenden Professionalisierung dieser Angriffe: “Es handelt sich um ein Katz-und-Maus-Spiel. Sobald eine bösartige Erweiterung entfernt wird, tauchen neue Varianten auf. Besonders gefährdet sind Crypto-Wallet-Add-ons – jeder Upload sollte als potenzieller Trojaner betrachtet werden.”
Ausblick und Empfehlungen
Mozilla kündigte an, weitere Informationen zu veröffentlichen, sobald sie vorliegen. Für Entwickler heißt das: Wachsam bleiben und Sicherheitsrichtlinien konsequent umsetzen. Gleichzeitig arbeitet das Add-on-Team an weiteren Maßnahmen, um betrügerische Extensions schon vor der Veröffentlichung zu erkennen.
Die Sicherheit des Firefox-Ökosystems hängt maßgeblich von der aktiven Beteiligung der Entwicklergemeinschaft ab. Nur durch gemeinsame Anstrengungen lassen sich zukünftige Angriffe frühzeitig abwehren und das Vertrauen in die Plattform stärken.
Quellen
- BleepingComputer: Mozilla warns of phishing attacks targeting add-on developers
- Mozilla Add-ons Community Blog: Warning: Phishing campaign detected
- The Register: Mozilla flags phishing wave aimed at hijacking trusted Firefox add-ons
About the Author
