Skadliga Firefox-tillägg efterliknar MetaMask, Coinbase för att stjäla krypto

Forskare vid cybersäkerhetsföretaget Koi Security har flaggat för över 40 falska Firefox-tillägg som är utformade för att stjäla kryptovaluta plånbok inloggningsuppgifter genom att utge sig för att vara populära plattformar som MetaMask, Coinbase och OKX.

Kryptovalutatillgångar som innehas av Firefox-användare, en allmänt använd webbläsare med öppen källkod, är i fara, enligt en färsk rapport från säkerhetsföretaget.

En storskalig kampanj, som varit aktiv sedan åtminstone april 2025, utnyttjar skadliga tillägg som fortfarande finns tillgängliga i Mozillas tilläggsbutik, vilket framhäver betydande luckor i webbläsarens granskningsprocess för plugins.

Koi Security varnar för att dessa falska tillägg speglar legitima plånbokserbjudanden med oroväckande noggrannhet och använder samma namn, logotyper och varumärke för att lura användare.

I många fall replikerar tilläggen koden för plånböcker med öppen källkod, med skadlig kod som diskret sätts in för att svepa kryptovalutor samtidigt som de fungerar som ett vanligt plugin.

Några av de varumärken som imiteras av de falska Firefox-tilläggen inkluderar MetaMask, Coinbase, OKX, Trust Wallet, Phantom, Exodus, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet och Filfox.

Tidigare i år varnade OKX för ett falskt webbläsartillägg som var listat i Firefox-butiken, som efterliknade börsens origins-plugin för att stjäla referenser från offrens plånböcker.

Skadligt tillägg finns fortfarande i Firefox-butiken

Koi kopplade kampanjen till över 40 individuella tillägg genom delade taktiker, tekniker och procedurer, samt överlappande infrastruktur.

Enligt rapporten är kampanjen för närvarande "aktiv, ihållande och utvecklande", med nya versioner av tilläggen som fortsätter att dyka upp trots borttagningsförsök. De senaste uppladdningarna upptäcktes så sent som i juni.

När de väl har installerats extraherar de falska tilläggen tyst plånbokshemligheter och överför dem till en fjärrserver som kontrolleras av angriparna.

Förutom att stjäla inloggningsuppgifter fångar skadlig programvara användarnas externa IP-adresser, potentiellt för att hjälpa till med ytterligare profilering eller uppföljningsattacker.

För att uppmuntra nedladdningar utnyttjar angripare också förtroendemekanismer på plugin-marknaden.

Många av de falska tilläggen stöds av hundratals falska femstjärniga recensioner, vilket vida överstiger vad som kan förväntas baserat på faktiska användarinstallationer.

Koi hittade skyltar som pekade på en rysktalande hotaktör, inklusive ryskspråkiga kommentarer inbäddade i tilläggskoden och metadata som hämtats från en kommandoserver som användes i operationen.

Även om attribution fortfarande är preliminärt, tror Koi-forskare att dessa indikatorer tyder på en välorganiserad och tekniskt skicklig grupp.

Kampanjens omfattning och sofistikering utgör ett betydande hot mot kryptoanvändare.

Genom att kapa webbläsartillägg, ett vanligt pålitligt verktyg bland handlare och investerare, kan angripare kringgå traditionella phishing-försvar och få direkt tillgång till plånböcker.

Eftersom dessa tillägg ofta fungerar med förhöjda behörigheter kan de äventyra offrets konton utan att de kan upptäcka det förrän det är för sent.

En uråldrig taktik

Kampanjer som dessa understryker de risker som kryptoanvändare i detaljhandeln står inför, särskilt när användningen av kryptovaluta ökar och webbläsarbaserade plånboksinteraktioner blir vanligare.

Enligt en NASAA-undersökning är kryptorelaterade bedrägerier och bedrägerier baserade på sociala medier fortfarande bland de främsta hoten mot investerare år 2025.

Under de senaste åren har skadliga webbläsartillägg blivit ett framträdande verktyg i cyberbrottslingens arsenal, med incidenter som dyker upp även i andra webbläsare.

I mars upptäcktes till exempel en komprometterad version av Chrome-proxyverktyget SwitchyOmega som stal privata nycklar från kryptoplånböcker efter att en phishing-attack möjliggjorde injektion av skadlig kod.

Ett annat skadligt Chrome-tillägg kallat "Bull Checker" flaggades av Solana-baserade DEX Jupiter förra året. Tillägget tömde användarnas plånböcker genom att ändra transaktionsnyttolaster.

Liknande taktik har också använts i tidigare kampanjer som involverar falska versioner av Ledger Live-appen och Aggr-handelsverktyg.

Vissa tillägg uppmanar användare att mata in sina seed-fraser under installationen eller i hemlighet samla in webbläsarcookies, som sedan används för att rekonstruera lösenord och komma åt kryptokonton.