Des extensions Firefox malveillantes imitent MetaMask, Coinbase pour voler des crypto-monnaies

Les chercheurs de la société de cybersécurité Koi Security ont signalé plus de 40 fausses extensions Firefox conçues pour voler wallet crypto-monnaie identifiants en usurpant l’identité de plateformes populaires comme MetaMask, Coinbase et OKX.

Les actifs en crypto-monnaie détenus par les utilisateurs de Firefox, un navigateur open source largement utilisé, sont à risque, selon un récent rapport de la société de sécurité.

Une campagne à grande échelle, active depuis au moins avril 2025, exploite des extensions malveillantes toujours disponibles sur le magasin d’add-ons de Mozilla, mettant en évidence des lacunes importantes dans le processus de vérification des plugins du navigateur.

Koi Security avertit que ces fausses extensions reflètent les offres de portefeuille légitimes avec une précision alarmante, en utilisant les mêmes noms, logos et marques pour tromper les utilisateurs.

Dans de nombreux cas, les extensions répliquent le code des portefeuilles open-source, avec un code malveillant discrètement inséré pour glisser les crypto-monnaies tout en fonctionnant comme un plugin normal.

Parmi les marques usurpées par les fausses extensions Firefox, citons MetaMask, Coinbase, OKX, Trust Wallet, Phantom, Exodus, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet et Filfox.

Plus tôt cette année, OKX a mis en garde contre une fausse extension de navigateur répertoriée sur le Firefox Store, qui imitait le plugin d’origine de l’exchange pour voler les informations d’identification des portefeuilles des victimes.

L’extension malveillante est toujours présente sur Firefox Store

Koi a lié la campagne à plus de 40 extensions individuelles par le biais de tactiques, de techniques et de procédures partagées, ainsi que d’infrastructures qui se chevauchent.

Selon le rapport, la campagne est actuellement « active, persistante et évolutive », avec de nouvelles versions des extensions qui continuent d’apparaître malgré les efforts de retrait. Les derniers téléchargements ont été détectés pas plus tard qu’en juin.

Une fois installées, les fausses extensions extraient silencieusement les secrets du portefeuille et les transmettent à un serveur distant contrôlé par les attaquants.

En plus de voler les identifiants de connexion, le logiciel malveillant capture les adresses IP externes des utilisateurs, potentiellement pour faciliter le profilage ou les attaques ultérieures.

Pour encourager les téléchargements, les attaquants exploitent également les mécanismes de confiance sur la place de marché des plugins.

La plupart des fausses extensions sont étayées par des centaines de faux avis cinq étoiles, dépassant de loin ce à quoi on pourrait s’attendre sur la base des installations réelles des utilisateurs.

Koi a trouvé des signes indiquant un acteur malveillant russophone, y compris des commentaires en russe intégrés dans le code d’extension et des métadonnées récupérées d’un serveur de commande utilisé dans l’opération.

Bien que l’attribution reste provisoire, les chercheurs de Koi pensent que ces indicateurs suggèrent un groupe bien organisé et techniquement compétent.

L’ampleur et la sophistication de la campagne constituent une menace importante pour les utilisateurs de cryptomonnaies.

En détournant les extensions de navigateur, un outil de confiance commun aux traders et aux investisseurs, les attaquants peuvent contourner les défenses traditionnelles contre le phishing et obtenir un accès direct aux portefeuilles.

Étant donné que ces extensions fonctionnent souvent avec des autorisations élevées, elles peuvent compromettre les comptes d’une victime sans qu’elle ne puisse la détecter jusqu’à ce qu’il soit trop tard.

Une tactique séculaire

De telles campagnes soulignent les risques auxquels sont confrontés les utilisateurs de cryptomonnaies de détail, d’autant plus que l’adoption des cryptomonnaies augmente et que les interactions avec les portefeuilles basés sur le navigateur deviennent plus courantes.

Selon une enquête de la NASAA, la fraude liée aux cryptomonnaies et les escroqueries basées sur les réseaux sociaux restent parmi les principales menaces pour les investisseurs en 2025.

Au cours des dernières années, les extensions de navigateur malveillantes sont devenues un outil de premier plan dans l’arsenal des cybercriminels, avec des incidents faisant également surface sur d’autres navigateurs.

Par exemple, en mars, une version compromise de l’outil proxy Chrome SwitchyOmega a été trouvée en train de voler des clés privées à wallets crypto après qu’une attaque de phishing ait permis l’injection de code malveillant.

Une autre extension malveillante de Chrome surnommée « Bull Checker » a été signalée par DEX Jupiter, basé sur Solana, l’année dernière. L’extension a vidé les portefeuilles des utilisateurs en modifiant les charges utiles des transactions.

Des tactiques similaires ont également été employées lors de campagnes antérieures impliquant de fausses versions de l’application Ledger Live et des outils de trading Aggr.

Certaines extensions incitent les utilisateurs à saisir leurs phrases de récupération lors de la configuration ou collectent secrètement des cookies de navigateur, qui sont ensuite utilisés pour reconstruire les mots de passe et accéder aux comptes cryptographiques.