L’actualité publiée par Koi Security révèle une campagne malveillante de grande envergure impliquant plus de 40 extensions Firefox falsifiées, conçues pour voler les identifiants de portefeuilles de cryptomonnaie. Ces extensions se font passer pour des outils légitimes de plateformes populaires comme Coinbase, MetaMask, et Trust Wallet.
Les extensions malveillantes, une fois installées, exfiltrent discrètement les secrets des portefeuilles vers un serveur distant contrôlé par l’attaquant, mettant ainsi en danger immédiat les actifs des utilisateurs. La campagne, active depuis au moins avril 2025, continue de sévir avec de nouvelles extensions malveillantes régulièrement ajoutées à la boutique Firefox Add-ons.
Pour gagner la confiance des utilisateurs, les attaquants utilisent des mécanismes de confiance courants tels que l’inflation des avis avec de fausses évaluations 5 étoiles, et imitent le branding des outils légitimes. Ils exploitent également le fait que les extensions officielles sont open source, clonant les bases de code réelles et y insérant leur logique malveillante.
L’attribution de cette campagne reste incertaine, mais des indices suggèrent qu’elle pourrait être orchestrée par un acteur de menace russophone. Cet article constitue une publication de recherche visant à sensibiliser sur les risques liés aux extensions de navigateur malveillantes et à recommander des mesures de sécurité pour les utilisateurs.
🧠 TTP et IOC détectés
TTP
T1555.003 - Steal Cryptocurrency Wallet Credentials, T1195.002 - Supply Chain Compromise: Compromise Software Dependencies and Development Tools, T1071.001 - Application Layer Protocol: Web Protocols, T1588.002 - Obtain Capabilities: Tool, T1586.001 - Compromise Infrastructure: Domains
🔗 Source originale : https://blog.koi.security/foxywallet-40-malicious-firefox-extensions-exposed-4c14419de486