Aviso: atualmente existem mais de 40 extensões falsas do Firefox que roubam carteiras de criptomoedas.

Uma campanha maliciosa sofisticada e em grande escala foi descoberta, envolvendo dezenas de extensões falsas no navegador Firefox com o objetivo de roubar informações das carteiras de criptomoedas dos usuários.

De acordo com um relatório do grupo de pesquisa de segurança Koi Security, pelo menos 40 utilitários maliciosos foram identificados, disfarçando-se de carteiras famosas como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet e Filfox.

Esta campanha tem operado silenciosamente desde pelo menos abril de 2025 e ainda está em andamento. Muitas extensões maliciosas ainda estavam aparecendo na loja de complementos do Firefox até a semana passada. Essas extensões funcionam roubando informações de acesso a carteiras de criptomoedas diretamente dos sites que os usuários visitam, e depois enviam os dados para servidores controlados pelos atacantes. Além disso, elas também coletam o endereço IP externo das vítimas, possivelmente com o objetivo de monitoramento ou de direcionar ataques mais profundos.

Essas utilidades são projetadas para enganar os usuários por meio de truques populares de construção de confiança, como avaliações de 5 estrelas falsas, interfaces e nomes idênticos aos da utilidade oficial, fazendo com que os usuários facilmente se confundam. Em alguns casos, o atacante copiou o código fonte aberto da utilidade original, adicionando apenas algumas linhas de código malicioso para roubar dados, mantendo assim a experiência do usuário para evitar suspeitas.

A Koi Security informou que esta campanha pode ter origem em um grupo de língua russa, com base em trechos de código comentados em russo e metadados no documento PDF recuperado do servidor de controle (C2). No entanto, o grupo de pesquisa observa que a responsabilização ainda não teve uma conclusão definitiva.

Recomendação da Koi Security:

• Apenas instale extensões de desenvolvedores verificados.
• Não deve confiar completamente nas avaliações e classificações altas na loja de aplicativos.
• Construir uma lista branca de utilidades permitidas na organização.
• Realizar monitorização contínua pois a aplicação pode atualizar malware após a instalação.

A Koi Security acredita que a gestão de extensões do navegador, que têm acesso profundo ao sistema, é um aspecto da cibersegurança que foi frequentemente negligenciado por muito tempo. As ferramentas da Koi estão atualmente a ser utilizadas por grandes corporações, instituições financeiras e tecnológicas para auditar e controlar os riscos provenientes de extensões do navegador e código aberto em plataformas como Firefox, Chrome Web Store, VSCode, Hugging Face, Homebrew, GitHub...

Hàn Tín