Peringatan saat ini ada lebih dari 40 ekstensi Firefox palsu yang mencuri dompet cryptocurrency

Sebuah kampanye berbahaya yang canggih dan berskala besar telah terdeteksi, terkait dengan puluhan ekstensi palsu di browser Firefox yang bertujuan mencuri informasi dompet kripto pengguna.

Menurut laporan dari kelompok penelitian keamanan Koi Security, setidaknya 40 utilitas berbahaya telah diidentifikasi, menyamar sebagai dompet terkenal seperti Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet dan Filfox.

Kampanye ini telah beroperasi secara diam-diam sejak setidaknya April 2025 dan masih berlangsung. Banyak ekstensi berbahaya bahkan masih muncul di toko Firefox Add-ons hingga minggu lalu. Ekstensi ini berfungsi dengan mencuri informasi akses dompet kripto langsung dari situs web yang dikunjungi pengguna, kemudian mengirimkan data ke server yang dikendalikan oleh penyerang. Selain itu, mereka juga mengumpulkan alamat IP eksternal korban, yang mungkin bertujuan untuk pemantauan atau menargetkan serangan lebih lanjut.

Fitur-fitur ini dirancang untuk menipu pengguna melalui trik-trik untuk membangun kepercayaan yang umum seperti ulasan bintang 5 palsu, antarmuka dan nama yang persis sama dengan fitur resmi, sehingga pengguna mudah bingung. Dalam beberapa kasus, penyerang telah menyalin kode sumber terbuka dari fitur asli, hanya menambahkan beberapa baris kode berbahaya untuk mencuri data, sehingga tetap mempertahankan pengalaman pengguna untuk menghindari kecurigaan.

Koi Security menyatakan bahwa kampanye ini mungkin berasal dari kelompok berbahasa Rusia, berdasarkan potongan kode komentar berbahasa Rusia dan metadata dalam dokumen PDF yang diambil dari server kendali (C2). Namun, kelompok peneliti mencatat bahwa penetapan tanggung jawab masih belum ada kesimpulan akhir.

Rekomendasi dari Koi Security:

• Hanya pasang aplikasi dari pengembang yang telah diverifikasi.
• Jangan sepenuhnya percaya pada ulasan dan peringkat tinggi di toko aplikasi.
• Membangun daftar putih dari utilitas yang diizinkan untuk digunakan dalam organisasi.
• Lakukan pemantauan terus-menerus karena utilitas dapat memperbarui malware setelah diinstal.

Koi Security berpendapat bahwa pengelolaan ekstensi browser, yang memiliki akses mendalam ke sistem, adalah aspek keamanan siber yang sering diabaikan dalam waktu yang lama. Alat Koi saat ini digunakan oleh perusahaan-perusahaan besar, organisasi keuangan, dan teknologi untuk meninjau dan mengendalikan risiko dari ekstensi browser dan kode sumber terbuka di platform seperti Firefox, Chrome Web Store, VSCode, Hugging Face, Homebrew, GitHub…

Han Xin