Ondsinnede Firefox-utvidelser etterligner MetaMask, Coinbase for å stjele krypto

Forskere ved cybersikkerhetsfirmaet Koi Security har flagget over 40 falske Firefox-utvidelser designet for å stjele kryptovaluta lommebok legitimasjon ved å utgi seg for populære plattformer som MetaMask, Coinbase og OKX.

Kryptovaluta-eiendeler som holdes av Firefox-brukere, en mye brukt åpen kildekode-nettleser, er i faresonen, ifølge en fersk rapport fra sikkerhetsfirmaet.

En storstilt kampanje, aktiv siden minst april 2025, utnytter ondsinnede utvidelser som fortsatt er tilgjengelige i Mozilla Add-ons-butikken, og fremhever betydelige hull i nettleserens plugin-kontrollprosess.

Koi Security advarer om at disse falske utvidelsene speiler legitime lommeboktilbud med alarmerende nøyaktighet, og bruker samme navn, logoer og merkevarebygging for å lure brukere.

I mange tilfeller replikerer utvidelsene koden til åpen kildekode-lommebøker, med ondsinnet kode diskret satt inn for å sveipe kryptovalutaer mens den fungerer som en vanlig plugin.

Noen av merkene som etterlignes av de falske Firefox-utvidelsene inkluderer MetaMask, Coinbase, OKX, Trust Wallet, Phantom, Exodus, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet og Filfox.

Tidligere i år advarte OKX om en falsk nettleserutvidelse oppført i Firefox-butikken, som etterlignet børsens opprinnelsesplugin for å stjele legitimasjon fra ofrenes lommebøker.

Ondsinnet utvidelse lever fortsatt i Firefox-butikken

Koi koblet kampanjen til over 40 individuelle utvidelser gjennom delte taktikker, teknikker og prosedyrer, samt overlappende infrastruktur.

Ifølge rapporten er kampanjen for tiden «aktiv, vedvarende og i utvikling», med nye versjoner av utvidelsene som fortsetter å dukke opp til tross for fjerningsforsøk. De siste opplastingene ble oppdaget så sent som i juni.

Når de er installert, trekker de falske utvidelsene ut lommebokhemmeligheter og overfører dem til en ekstern server kontrollert av angriperne.

I tillegg til å stjele påloggingsinformasjon, fanger skadelig programvare brukernes eksterne IP-adresser, potensielt for å hjelpe til med ytterligere profilering eller oppfølgingsangrep.

For å oppmuntre til nedlastinger utnytter angripere også tillitsmekanismer på plugin-markedet.

Mange av de falske utvidelsene er støttet opp med hundrevis av falske femstjerners anmeldelser, langt over det som kan forventes basert på faktiske brukerinstallasjoner.

Koi fant tegn som pekte på en russisktalende trusselaktør, inkludert russiskspråklige kommentarer innebygd i utvidelseskoden og metadata hentet fra en kommandoserver som ble brukt i operasjonen.

Selv om attribusjon fortsatt er foreløpig, mener Koi-forskere at disse indikatorene tyder på en velorganisert og teknisk dyktig gruppe.

Omfanget og raffinementet til kampanjen utgjør en betydelig trussel mot kryptobrukere.

Ved å kapre nettleserutvidelser, et ofte pålitelig verktøy blant tradere og investorer, kan angripere omgå tradisjonelle phishing-forsvar og få direkte tilgang til lommebøker.

Siden disse utvidelsene ofte opererer med forhøyede tillatelser, kan de kompromittere et offers kontoer uten at de kan oppdage det før det er for sent.

En eldgammel taktikk

Kampanjer som disse understreker risikoen kryptobrukere står overfor, spesielt ettersom bruken av kryptovaluta øker og nettleserbaserte lommebokinteraksjoner blir mer vanlige.

I følge en NASAA-undersøkelse er kryptorelatert svindel og svindel basert på sosiale medier fortsatt blant de største truslene mot investorer i 2025.

I løpet av de siste årene har ondsinnede nettleserutvidelser blitt et fremtredende verktøy i nettkriminelles arsenal, med hendelser som også dukker opp på tvers av andre nettlesere.

For eksempel, i mars, ble det funnet en kompromittert versjon av Chrome-proxyverktøyet SwitchyOmega som stjal private nøkler fra krypto lommebøker etter at et phishing-angrep muliggjorde ondsinnet kodeinjeksjon.

En annen ondsinnet Chrome-utvidelse kalt "Bull Checker" ble flagget av Solana-baserte DEX Jupiter i fjor. Utvidelsen tappet brukerlommebøker ved å endre transaksjonsnyttelast.

Lignende taktikker har også blitt brukt i tidligere kampanjer som involverer falske versjoner av Ledger Live-appen og Aggr-handelsverktøy.

Noen utvidelser ber brukere om å legge inn frøfrasene sine under oppsettet eller i hemmelighet samle inn nettleserinformasjonskapsler, som deretter brukes til å rekonstruere passord og få tilgang til kryptokontoer.