La société de cybersécurité Koi Security a découvert une campagne malveillante à grande échelle visant les utilisateurs de cryptomonnaies à travers de fausses extensions Firefox.
La campagne implique plus de 40 extensions imitant des outils de portefeuille crypto largement utilisés.
Cela inclut Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet et Filfox. Une fois installées, ces extensions volent silencieusement les identifiants de portefeuille et les exfiltrent vers des serveurs contrôlés par des attaquants, mettant ainsi les actifs des utilisateurs en danger immédiat.
Utilisateurs de crypto à risque
Dans son dernier post, Koi Security a révélé que la campagne est active depuis au moins avril 2025. En fait, de nouveaux téléchargements frauduleux sont apparus sur la boutique des modules complémentaires de Mozilla la semaine dernière, ce qui indique que l'opération est en cours, adaptable et persistante.
Ces extensions transmettent les adresses IP externes des victimes lors de l'initialisation, probablement pour le suivi ou le ciblage, tout en extrayant directement les secrets de portefeuille des sites ciblés. En copiant les évaluations, les avis et la marque, les attaquants font en sorte que leurs extensions semblent fiables, ce qui incite finalement davantage d'utilisateurs à les télécharger.
De nombreuses extensions frauduleuses contenaient des centaines de faux avis positifs, dépassant leur réelle base d'utilisateurs, ce qui leur permettait de sembler largement adoptées et réputées au sein de l'écosystème des modules complémentaires de Mozilla.
Dans plusieurs cas, il a été constaté que des attaquants avaient cloné de véritables extensions de portefeuille open source et intégré une logique malveillante tout en maintenant la fonctionnalité attendue. Cela a été fait pour éviter la détection et garantir une expérience utilisateur fluide, une tactique qui a permis de poursuivre le vol de données d'identification sans éveiller de soupçons.
L'enquête de Koi Security a retracé l'infrastructure partagée de la campagne ainsi que ses tactiques, techniques et procédures (TTPs) à travers les extensions et a révélé une opération coordonnée axée sur la collecte des identifiants et le suivi des utilisateurs au sein de l'écosystème crypto. Elle a exhorté les utilisateurs de Firefox à examiner immédiatement les extensions installées, à désinstaller les outils suspects et à faire tourner les identifiants de portefeuille si possible.
La société a également déclaré qu'elle collabore activement avec Mozilla pour supprimer les extensions malveillantes identifiées et surveiller d'autres téléchargements liés à cette campagne.
Indices russes dans le code de la campagne
Des preuves suggèrent qu'un groupe de menaces russophone pourrait être derrière la campagne. Koi Security a affirmé avoir trouvé des notes en langue russe cachées dans le code de l'extension et les métadonnées d'un PDF sur un serveur de contrôle montrant du texte russe.
Ces indices ne constituent pas une preuve définitive mais indiquent un possible acteur russophone menant l'opération.
Le dernier rapport apparaît des mois après qu'une potentielle arnaque de phishing crypto liée à la Russie utilisant de faux liens de réunion Zoom pour voler des millions a été détectée par SlowMist. La société de sécurité blockchain a retracé l'activité du malware jusqu'à un serveur aux Pays-Bas mais a trouvé des scripts en langue russe dans les outils des attaquants, ce qui indiquait des opérateurs russophones possibles. Les attaquants ont vidé des portefeuilles et converti des actifs volés en ETH sur les grandes bourses.
Voir l'original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Si vous avez Crypto et utilisez Firefox, les Hackers vous ciblent
La société de cybersécurité Koi Security a découvert une campagne malveillante à grande échelle visant les utilisateurs de cryptomonnaies à travers de fausses extensions Firefox.
La campagne implique plus de 40 extensions imitant des outils de portefeuille crypto largement utilisés.
Cela inclut Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet et Filfox. Une fois installées, ces extensions volent silencieusement les identifiants de portefeuille et les exfiltrent vers des serveurs contrôlés par des attaquants, mettant ainsi les actifs des utilisateurs en danger immédiat.
Utilisateurs de crypto à risque
Dans son dernier post, Koi Security a révélé que la campagne est active depuis au moins avril 2025. En fait, de nouveaux téléchargements frauduleux sont apparus sur la boutique des modules complémentaires de Mozilla la semaine dernière, ce qui indique que l'opération est en cours, adaptable et persistante.
Ces extensions transmettent les adresses IP externes des victimes lors de l'initialisation, probablement pour le suivi ou le ciblage, tout en extrayant directement les secrets de portefeuille des sites ciblés. En copiant les évaluations, les avis et la marque, les attaquants font en sorte que leurs extensions semblent fiables, ce qui incite finalement davantage d'utilisateurs à les télécharger.
De nombreuses extensions frauduleuses contenaient des centaines de faux avis positifs, dépassant leur réelle base d'utilisateurs, ce qui leur permettait de sembler largement adoptées et réputées au sein de l'écosystème des modules complémentaires de Mozilla.
Dans plusieurs cas, il a été constaté que des attaquants avaient cloné de véritables extensions de portefeuille open source et intégré une logique malveillante tout en maintenant la fonctionnalité attendue. Cela a été fait pour éviter la détection et garantir une expérience utilisateur fluide, une tactique qui a permis de poursuivre le vol de données d'identification sans éveiller de soupçons.
L'enquête de Koi Security a retracé l'infrastructure partagée de la campagne ainsi que ses tactiques, techniques et procédures (TTPs) à travers les extensions et a révélé une opération coordonnée axée sur la collecte des identifiants et le suivi des utilisateurs au sein de l'écosystème crypto. Elle a exhorté les utilisateurs de Firefox à examiner immédiatement les extensions installées, à désinstaller les outils suspects et à faire tourner les identifiants de portefeuille si possible.
La société a également déclaré qu'elle collabore activement avec Mozilla pour supprimer les extensions malveillantes identifiées et surveiller d'autres téléchargements liés à cette campagne.
Indices russes dans le code de la campagne
Des preuves suggèrent qu'un groupe de menaces russophone pourrait être derrière la campagne. Koi Security a affirmé avoir trouvé des notes en langue russe cachées dans le code de l'extension et les métadonnées d'un PDF sur un serveur de contrôle montrant du texte russe.
Ces indices ne constituent pas une preuve définitive mais indiquent un possible acteur russophone menant l'opération.
Le dernier rapport apparaît des mois après qu'une potentielle arnaque de phishing crypto liée à la Russie utilisant de faux liens de réunion Zoom pour voler des millions a été détectée par SlowMist. La société de sécurité blockchain a retracé l'activité du malware jusqu'à un serveur aux Pays-Bas mais a trouvé des scripts en langue russe dans les outils des attaquants, ce qui indiquait des opérateurs russophones possibles. Les attaquants ont vidé des portefeuilles et converti des actifs volés en ETH sur les grandes bourses.