Le estensioni dannose di Firefox imitano MetaMask e Coinbase rubano le crypto

I ricercatori della società di sicurezza informatica Koi Security hanno segnalato oltre 40 false estensioni di Firefox progettate per rubare le credenziali wallet per criptovalute impersonando piattaforme popolari come MetaMask, Coinbase e OKX.

Gli asset di criptovaluta detenuti dagli utenti di Firefox, un browser open source ampiamente utilizzato, sono a rischio, secondo un recente rapporto della società di sicurezza.

Una campagna su larga scala, attiva almeno da aprile 2025, sta sfruttando le estensioni dannose ancora disponibili sullo store Mozilla Add-ons, evidenziando lacune significative nel processo di verifica dei plugin del browser.

Koi Security avverte che queste estensioni false rispecchiano le offerte di portafogli legittime con una precisione allarmante, utilizzando gli stessi nomi, loghi e marchi per ingannare gli utenti.

In molti casi, le estensioni replicano il codice dei wallet open-source, con codice malevolo inserito discretamente per strisciare le criptovalute pur funzionando come un normale plugin.

Alcuni dei marchi impersonati dalle false estensioni di Firefox includono MetaMask, Coinbase, OKX, Trust Wallet, Phantom, Exodus, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet e Filfox.

All'inizio di quest'anno, OKX ha avvertito di una falsa estensione del browser elencata sullo store di Firefox, che imitava il plug-in Origins dell'exchange per rubare le credenziali dai portafogli delle vittime.

L'estensione dannosa è ancora attiva sullo store Firefox

Koi ha collegato la campagna a oltre 40 estensioni individuali attraverso tattiche, tecniche e procedure condivise, nonché infrastrutture sovrapposte.

Secondo il rapporto, la campagna è attualmente "attiva, persistente e in evoluzione", con nuove versioni delle estensioni che continuano ad apparire nonostante gli sforzi di rimozione. Gli ultimi caricamenti sono stati rilevati di recente, a giugno.

Una volta installate, le false estensioni estraggono silenziosamente i segreti del portafoglio e li trasmettono a un server remoto controllato dagli aggressori.

Oltre a rubare le credenziali di accesso, il malware acquisisce gli indirizzi IP esterni degli utenti, potenzialmente per aiutare in ulteriori attacchi di profilazione o successivi.

Per incoraggiare i download, gli aggressori sfruttano anche i meccanismi di fiducia sul marketplace dei plugin.

Molte delle estensioni false sono sostenute da centinaia di recensioni false a cinque stelle, superando di gran lunga ciò che ci si aspetterebbe in base alle installazioni effettive degli utenti.

Koi ha trovato segni che indicavano un attore di minacce di lingua russa, inclusi commenti in lingua russa incorporati nel codice dell'estensione e metadati recuperati da un server di comando utilizzato nell'operazione.

Sebbene l'attribuzione rimanga provvisoria, i ricercatori di Koi ritengono che questi indicatori suggeriscano un gruppo ben organizzato e tecnicamente competente.

La portata e la sofisticazione della campagna rappresentano una minaccia significativa per gli utenti di criptovalute.

Dirottando le estensioni del browser, uno strumento comunemente affidabile tra trader e investitori, gli aggressori possono aggirare le tradizionali difese di phishing e ottenere l'accesso diretto ai portafogli.

Poiché queste estensioni spesso operano con autorizzazioni elevate, possono compromettere gli account di una vittima senza che questa sia in grado di rilevarlo fino a quando non è troppo tardi.

Una tattica secolare

Campagne come queste sottolineano i rischi che gli utenti di criptovalute al dettaglio devono affrontare, soprattutto con l'aumento dell'adozione delle criptovalute e le interazioni con i wallet basati su browser che diventano più comuni.

Secondo un sondaggio della NASAA, le frodi legate alle criptovalute e le truffe basate sui social media rimangono tra le principali minacce per gli investitori nel 2025.

Negli ultimi anni, le estensioni del browser dannose sono diventate uno strumento importante nell'arsenale dei criminali informatici, con incidenti che emergono anche su altri browser.

Ad esempio, a marzo, una versione compromessa dello strumento proxy di Chrome SwitchyOmega è stata trovata a rubare chiavi private da wallet crypto dopo che un attacco di phishing ha abilitato l'iniezione di codice dannoso.

Un'altra estensione dannosa di Chrome soprannominata "Bull Checker" è stata segnalata da DEX Jupiter basato su Solana l'anno scorso. L'estensione prosciugava i portafogli degli utenti modificando i payload delle transazioni.

Tattiche simili sono state impiegate anche in precedenti campagne che coinvolgevano versioni false dell'app Ledger Live e degli strumenti di trading Aggr.

Alcune estensioni richiedono agli utenti di inserire le loro seed phrase durante la configurazione o di raccogliere segretamente i cookie del browser, che vengono poi utilizzati per ricostruire le password e accedere agli account crittografici.