Ondsindede Firefox-udvidelser efterligner MetaMask, Coinbase for at stjæle krypto

Forskere hos cybersikkerhedsfirmaet Koi Security har markeret over 40 falske Firefox-udvidelser, der er designet til at stjæle kryptovaluta wallet legitimationsoplysninger ved at udgive sig for at være populære platforme som MetaMask, Coinbase og OKX.

Kryptovalutaaktiver, der ejes af Firefox-brugere, en meget brugt open source-browser, er i fare, ifølge en nylig rapport fra sikkerhedsfirmaet.

En storstilet kampagne, der har været aktiv siden mindst april 2025, udnytter ondsindede udvidelser, der stadig er tilgængelige i Mozilla Add-ons-butikken, hvilket fremhæver betydelige huller i browserens plugin-kontrolproces.

Koi Security advarer om, at disse falske udvidelser afspejler legitime tegnebogstilbud med alarmerende nøjagtighed og bruger de samme navne, logoer og branding til at bedrage brugerne.

I mange tilfælde replikerer udvidelserne koden for open source-tegnebøger, med ondsindet kode diskret indsat for at stryge kryptovalutaer, mens de fungerer som et normalt plugin.

Nogle af de mærker, der udgiver sig for at være de falske Firefox-udvidelser, inkluderer MetaMask, Coinbase, OKX, Trust Wallet, Phantom, Exodus, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet og Filfox.

Tidligere i år advarede OKX om en falsk browserudvidelse, der er opført i Firefox-butikken, som efterlignede børsens origins-plugin for at stjæle legitimationsoplysninger fra ofrenes tegnebøger.

Ondsindet udvidelse lever stadig i Firefox-butikken

Koi knyttede kampagnen til over 40 individuelle udvidelser gennem fælles taktikker, teknikker og procedurer samt overlappende infrastruktur.

Ifølge rapporten er kampagnen i øjeblikket "aktiv, vedholdende og under udvikling", og nye versioner af udvidelserne fortsætter med at dukke op på trods af fjernelsesindsatsen. De seneste uploads blev opdaget så sent som i juni.

Når de er installeret, udtrækker de falske udvidelser lydløst tegnebogshemmeligheder og overfører dem til en ekstern server, der styres af angriberne.

Ud over at stjæle loginoplysninger fanger malwaren brugernes eksterne IP-adresser, potentielt for at hjælpe med yderligere profilering eller opfølgende angreb.

For at tilskynde til downloads udnytter angribere også tillidsmekanismer på plugin-markedet.

Mange af de falske udvidelser er understøttet med hundredvis af falske femstjernede anmeldelser, der langt overgår, hvad man ville forvente baseret på faktiske brugerinstallationer.

Koi fandt tegn, der pegede på en russisktalende trusselsaktør, herunder russisksprogede kommentarer indlejret i udvidelseskoden og metadata hentet fra en kommandoserver, der blev brugt i operationen.

Mens tilskrivning fortsat er foreløbig, mener Koi-forskere, at disse indikatorer tyder på en velorganiseret og teknisk dygtig gruppe.

Kampagnens omfang og sofistikering udgør en betydelig trussel mod kryptobrugere.

Ved at kapre browserudvidelser, et almindeligt betroet værktøj blandt handlende og investorer, kan angribere omgå traditionelle phishing-forsvar og få direkte adgang til tegnebøger.

Da disse udvidelser ofte fungerer med forhøjede tilladelser, kan de kompromittere et offers konti, uden at de kan opdage det, før det er for sent.

En ældgammel taktik

Kampagner som disse understreger de risici, som detailkryptobrugere står over for, især da udbredelsen af kryptovaluta stiger, og browserbaserede wallet-interaktioner bliver mere almindelige.

Ifølge en NASAA-undersøgelse er kryptorelateret svindel og svindel baseret på sociale medier fortsat blandt de største trusler mod investorer i 2025.

I løbet af de seneste år er ondsindede browserudvidelser blevet et fremtrædende værktøj i cyberkriminelles arsenal, hvor hændelser også dukker op på tværs af andre browsere.

For eksempel blev det i marts fundet en kompromitteret version af Chrome-proxyværktøjet SwitchyOmega, der stjal private nøgler fra krypto wallets efter et phishing-angreb muliggjorde ondsindet kodeinjektion.

En anden ondsindet Chrome-udvidelse kaldet "Bull Checker" blev markeret af Solana-baserede DEX Jupiter sidste år. Udvidelsen drænede brugernes tegnebøger ved at ændre transaktionsnyttelaster.

Lignende taktikker er også blevet brugt i tidligere kampagner, der involverer falske versioner af Ledger Live-appen og Aggr-handelsværktøjer.

Nogle udvidelser beder brugerne om at indtaste deres seed phrases under opsætningen eller i hemmelighed indsamle browsercookies, som derefter bruges til at rekonstruere adgangskoder og få adgang til kryptokonti.