Kwaadaardige Firefox-extensies bootsen MetaMask na, Coinbase om crypto te stelen

Onderzoekers van cyberbeveiligingsbedrijf Koi Security hebben meer dan 40 valse Firefox-extensies gemarkeerd die zijn ontworpen om cryptocurrency wallet inloggegevens te stelen door zich voor te doen als populaire platforms zoals MetaMask, Coinbase en OKX.

Cryptocurrency-activa in het bezit van Firefox-gebruikers, een veelgebruikte open-source browser, lopen gevaar, volgens een recent rapport van het beveiligingsbedrijf.

Een grootschalige campagne, actief sinds ten minste april 2025, maakt gebruik van kwaadaardige extensies die nog steeds beschikbaar zijn in de Mozilla Add-ons Store, wat aanzienlijke hiaten in het doorlichtingsproces van de browser voor plug-ins aan het licht brengt.

Koi Security waarschuwt dat deze nep-extensies een afspiegeling zijn van legitieme portemonnee-aanbiedingen met alarmerende nauwkeurigheid, waarbij dezelfde namen, logo's en branding worden gebruikt om gebruikers te misleiden.

In veel gevallen repliceren de extensies de code van open-source wallets, waarbij kwaadaardige code discreet wordt ingevoegd om cryptocurrencies te vegen terwijl ze functioneren als een normale plug-in.

Enkele van de merken die worden geïmiteerd door de nep-Firefox-extensies zijn MetaMask, Coinbase, OKX, Trust Wallet, Phantom, Exodus, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet en Filfox.

Eerder dit jaar waarschuwde OKX voor een nep-browserextensie die in de Firefox-winkel werd vermeld en die de oorsprongsplug-in van de beurs nabootste om inloggegevens uit de portemonnees van de slachtoffers te stelen.

Kwaadaardige extensie nog steeds live in de Firefox-winkel

Koi koppelde de campagne aan meer dan 40 individuele extensies door middel van gedeelde tactieken, technieken en procedures, evenals overlappende infrastructuur.

Volgens het rapport is de campagne momenteel "actief, aanhoudend en evoluerend", waarbij nieuwe versies van de extensies blijven verschijnen ondanks verwijderingsinspanningen. De laatste uploads werden pas in juni gedetecteerd.

Eenmaal geïnstalleerd, extraheren de nep-extensies stilletjes portemonneegeheimen en verzenden ze naar een externe server die wordt beheerd door de aanvallers.

Naast het stelen van inloggegevens, legt de malware de externe IP-adressen van gebruikers vast, mogelijk om te helpen bij verdere profilering of vervolgaanvallen.

Om downloads aan te moedigen, maken aanvallers ook gebruik van vertrouwensmechanismen op de marktplaats voor plug-ins.

Veel van de nep-extensies worden ondersteund door honderden valse vijfsterrenrecensies, veel meer dan wat zou worden verwacht op basis van daadwerkelijke gebruikersinstallaties.

Koi vond tekenen die wezen op een Russisch sprekende dreigingsactor, waaronder Russischtalige opmerkingen die waren ingebed in de extensiecode en metadata die waren opgehaald van een commandoserver die bij de operatie werd gebruikt.

Hoewel de attributie voorlopig blijft, zijn Koi-onderzoekers van mening dat deze indicatoren een goed georganiseerde en technisch bekwame groep suggereren.

De schaal en verfijning van de campagne vormen een aanzienlijke bedreiging voor crypto-gebruikers.

Door browserextensies te kapen, een algemeen vertrouwde tool onder handelaren en investeerders, kunnen aanvallers de traditionele phishing-verdediging omzeilen en directe toegang krijgen tot portefeuilles.

Aangezien deze extensies vaak met verhoogde machtigingen werken, kunnen ze de accounts van een slachtoffer in gevaar brengen zonder dat ze dit kunnen detecteren totdat het te laat is.

Een eeuwenoude tactiek

Campagnes zoals deze onderstrepen de risico's waarmee crypto-gebruikers in de detailhandel worden geconfronteerd, vooral naarmate de acceptatie van cryptocurrency toeneemt en browsergebaseerde portemonnee-interacties gebruikelijker worden.

Volgens een NASAA-enquête blijven crypto-gerelateerde fraude en oplichting op sociale media in 2025 tot de grootste bedreigingen voor beleggers behoren.

In de afgelopen jaren zijn kwaadaardige browserextensies een prominent hulpmiddel geworden in het arsenaal van cybercriminelen, waarbij incidenten ook in andere browsers opduiken.

In maart werd bijvoorbeeld een gecompromitteerde versie van de Chrome-proxytool SwitchyOmega gevonden die privésleutels van crypto wallets stal nadat een phishing-aanval kwaadaardige code-injectie mogelijk had gemaakt.

Een andere kwaadaardige Chrome-extensie genaamd "Bull Checker" werd vorig jaar gemarkeerd door het op Solana gebaseerde DEX Jupiter. De extensie putte gebruikersportefeuilles uit door transactie-payloads te wijzigen.

Soortgelijke tactieken zijn ook gebruikt in eerdere campagnes met nepversies van de Ledger Live-app en Aggr-handelstools.

Sommige extensies vragen gebruikers om hun seed phrases in te voeren tijdens de installatie of om in het geheim browsercookies te verzamelen, die vervolgens worden gebruikt om wachtwoorden te reconstrueren en toegang te krijgen tot crypto-accounts.