Bösartige Firefox-Erweiterungen ahmen MetaMask und Coinbase nach, um Krypto zu stehlen

Forscher des Cybersicherheitsunternehmens Koi Security haben über 40 gefälschte Firefox-Erweiterungen gekennzeichnet, die darauf abzielen, Kryptowährung Wallet Anmeldeinformationen zu stehlen, indem sie sich als beliebte Plattformen wie MetaMask, Coinbase und OKX ausgeben.

Kryptowährungs-Assets, die von Firefox-Nutzern, einem weit verbreiteten Open-Source-Browser, gehalten werden, sind gefährdet, so ein aktueller Bericht der Sicherheitsfirma.

Eine groß angelegte Kampagne, die seit mindestens April 2025 aktiv ist, nutzt bösartige Erweiterungen, die noch im Mozilla Add-ons Store verfügbar sind, und zeigt erhebliche Lücken im Plugin-Überprüfungsprozess des Browsers auf.

Koi Security warnt davor, dass diese gefälschten Erweiterungen legitime Wallet-Angebote mit alarmierender Genauigkeit widerspiegeln und dieselben Namen, Logos und Branding verwenden, um Benutzer zu täuschen.

In vielen Fällen replizieren die Erweiterungen den Code von Open-Source-Wallets, wobei bösartiger Code diskret eingefügt wird, um Kryptowährungen zu klauen, während er wie ein normales Plugin funktioniert.

Zu den Marken, die von den gefälschten Firefox-Erweiterungen imitiert werden, gehören MetaMask, Coinbase, OKX, Trust Wallet, Phantom, Exodus, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet und Filfox.

Anfang dieses Jahres warnte OKX vor einer gefälschten Browsererweiterung, die im Firefox-Store gelistet war und das Origins-Plugin der Börse nachahmte, um Anmeldeinformationen aus den Wallets der Opfer zu stehlen.

Bösartige Erweiterung immer noch im Firefox Store verfügbar

Koi verknüpfte die Kampagne mit über 40 einzelnen Erweiterungen durch gemeinsame Taktiken, Techniken und Verfahren sowie durch eine sich überschneidende Infrastruktur.

Dem Bericht zufolge ist die Kampagne derzeit "aktiv, persistent und entwickelt sich weiter", wobei trotz der Entfernungsbemühungen weiterhin neue Versionen der Erweiterungen erscheinen. Die letzten Uploads wurden erst im Juni entdeckt.

Nach der Installation extrahieren die gefälschten Erweiterungen unbemerkt Wallet-Geheimnisse und übertragen sie an einen Remote-Server, der von den Angreifern kontrolliert wird.

Die Malware stiehlt nicht nur Anmeldedaten, sondern erfasst auch die externen IP-Adressen der Benutzer, um möglicherweise bei der weiteren Profilerstellung oder Folgeangriffen zu helfen.

Um Downloads zu fördern, nutzen Angreifer auch Vertrauensmechanismen auf dem Plugin-Marktplatz aus.

Viele der gefälschten Erweiterungen sind mit Hunderten von gefälschten Fünf-Sterne-Bewertungen versehen, die weit über das hinausgehen, was man auf der Grundlage tatsächlicher Benutzerinstallationen erwarten würde.

Koi fand Anzeichen, die auf einen russischsprachigen Bedrohungsakteur hindeuteten, einschließlich russischsprachiger Kommentare, die in den Erweiterungscode eingebettet waren, und Metadaten, die von einem Befehlsserver abgerufen wurden, der bei der Operation verwendet wurde.

Während die Zuschreibung noch vorläufig ist, glauben die Koi-Forscher, dass diese Indikatoren auf eine gut organisierte und technisch versierte Gruppe hindeuten.

Der Umfang und die Raffinesse der Kampagne stellen eine erhebliche Bedrohung für Krypto-Nutzer dar.

Durch das Hijacking von Browsererweiterungen, einem unter Händlern und Investoren allgemein vertrauenswürdigen Tool, können Angreifer traditionelle Phishing-Abwehrmaßnahmen umgehen und direkten Zugriff auf Wallets erhalten.

Da diese Erweiterungen oft mit erhöhten Berechtigungen arbeiten, können sie die Konten eines Opfers kompromittieren, ohne dass es es erkennen kann, bis es zu spät ist.

Eine uralte Taktik

Kampagnen wie diese unterstreichen die Risiken, denen Krypto-Nutzer im Einzelhandel ausgesetzt sind, insbesondere da die Akzeptanz von Kryptowährungen zunimmt und browserbasierte Wallet-Interaktionen immer häufiger werden.

Laut einer NASAA-Umfrage gehören Krypto-bezogener Betrug und Social-Media-basierter Betrug auch im Jahr 2025 zu den größten Bedrohungen für Anleger.

In den letzten Jahren haben sich bösartige Browsererweiterungen zu einem wichtigen Werkzeug im Arsenal der Cyberkriminellen entwickelt, wobei Vorfälle auch in anderen Browsern auftauchten.

So wurde beispielsweise im März festgestellt, dass eine kompromittierte Version des Chrome-Proxy-Tools SwitchyOmega private Schlüssel von Krypto Wallets stiehlt, nachdem ein Phishing-Angriff die Einschleusung von bösartigem Code ermöglicht hatte.

Eine weitere bösartige Chrome-Erweiterung mit dem Namen "Bull Checker" wurde letztes Jahr von der Solana-basierten DEX Jupiter gemeldet . Die Erweiterung entleerte die Wallets der Benutzer, indem sie Transaktionsnutzlasten änderte.

Ähnliche Taktiken wurden auch in früheren Kampagnen mit gefälschten Versionen der Ledger Live-App und der Aggr-Handelstools angewendet.

Einige Erweiterungen fordern Benutzer auf, ihre Seed-Phrasen während der Einrichtung einzugeben oder heimlich Browser-Cookies zu sammeln, die dann verwendet werden, um Passwörter zu rekonstruieren und auf Krypto-Konten zuzugreifen.