Alerte : il existe actuellement plus de 40 extensions Firefox frauduleuses qui volent des portefeuilles de cryptomonnaie.

Une campagne malveillante sophistiquée et à grande échelle a été découverte, impliquant des dizaines d'extensions frauduleuses sur le navigateur Firefox visant à voler les informations de portefeuille de crypto-monnaie des utilisateurs.

Selon un rapport du groupe de recherche en sécurité Koi Security, au moins 40 utilitaires malveillants ont été identifiés, se faisant passer pour des portefeuilles célèbres tels que Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet et Filfox.

Cette campagne a fonctionné discrètement depuis au moins avril 2025 et se poursuit encore. De nombreuses extensions malveillantes apparaissent même encore sur le magasin des modules complémentaires de Firefox jusqu'à la semaine dernière. Ces extensions fonctionnent en volant les informations d'accès au portefeuille de cryptomonnaie directement à partir des sites Web que les utilisateurs visitent, puis en envoyant les données vers un serveur contrôlé par l'attaquant. De plus, elles collectent l'adresse IP externe de la victime, ce qui pourrait viser à suivre ou à cibler des attaques plus profondes.

Ces utilitaires sont conçus pour tromper les utilisateurs par le biais de techniques de création de confiance communes telles que de fausses évaluations 5 étoiles, une interface et des noms identiques à ceux des utilitaires officiels, rendant ainsi la confusion facile pour les utilisateurs. Dans certains cas, l'attaquant a copié le code source ouvert de l'utilitaire d'origine, n'ajoutant que quelques lignes de code malveillant pour voler des données, tout en préservant l'expérience utilisateur afin d'éviter les soupçons.

Koi Security a déclaré que cette campagne pourrait provenir d'un groupe de langue russe, basé sur les commentaires en russe et les métadonnées dans le document PDF récupéré à partir du serveur de commande (C2). Cependant, l'équipe de recherche note qu'aucune conclusion finale sur la responsabilité n'a encore été tirée.

Recommandations de Koi Security :

• N'installez des extensions que de développeurs vérifiés.
• Il ne faut pas faire entièrement confiance aux évaluations et aux classements élevés dans les magasins d'applications.
• Établir une liste blanche des services autorisés à être utilisés au sein de l'organisation.
• Effectuer une surveillance continue car l'utilitaire peut mettre à jour des logiciels malveillants après l'installation.

Koi Security estime que la gestion des extensions de navigateur, qui ont un accès profond au système, est un aspect de la cybersécurité souvent négligé depuis longtemps. Les outils de Koi sont actuellement utilisés par de grandes entreprises, des organisations financières et technologiques pour examiner et contrôler les risques liés aux extensions de navigateur et au code source ouvert sur des plateformes telles que Firefox, Chrome Web Store, VSCode, Hugging Face, Homebrew, GitHub…

Han Tín