Investigadores han destapado una campaña que ha colado decenas de extensiones maliciosas en la tienda oficial de Mozilla Firefox. Su único objetivo: robar las frases semilla y claves privadas de las carteras cripto de los usuarios.
¿Cómo logran engañar al usuario?
Las extensiones se hacen pasar por herramientas legítimas de Coinbase, MetaMask, Trust Wallet, Phantom, Exodus y otras soluciones populares. Copian nombre, logotipo e incluso parte del código fuente abierto de los proyectos originales, al que inyectan funciones para capturar credenciales y enviarlas a un servidor controlado por los atacantes.
Para parecer “de confianza”, los agresores inflan artificialmente las valoraciones con cientos de reseñas de cinco estrellas, muy por encima de las instalaciones reales. El usuario ve un producto con buena reputación y lo instala sin sospechar.
Una vez en el navegador, el add‑on opera con los mismos permisos que cualquier extensión: puede leer contenido de las webs de cartera, interceptar frases semilla y, además, enviar la dirección IP pública de la víctima al C2 del atacante. Al ejecutarse dentro del propio Firefox, el tráfico pasa inadvertido para muchos antivirus y filtros de red tradicionales.
Alcance y atribución
El equipo de Koi Security relaciona al menos 40 extensiones distintas con esta campaña activa desde abril de 2025 y documenta subidas tan recientes como la semana pasada, lo que indica que el actor sigue operando. Comentarios en ruso dentro del código y metadatos de los servidores sugieren un grupo de habla rusa detrás de la operación.
Mozilla ya ha retirado casi todos los complementos implicados —salvo una versión de MyMonero Wallet— y afirma disponer de un “sistema de detección temprana” para bloquear futuras variantes antes de que ganen popularidad. Aun así, se recomienda instalar extensiones solo de editores verificados y auditar periódicamente su comportamiento.
Más información:
- The Hacker News – “Over 40 Malicious Firefox Extensions Target Cryptocurrency Wallets, Stealing User Assets” https://thehackernews.com/2025/07/over-40-malicious-firefox-extensions.html
- Koi Security – “FoxyWallet: 40+ Malicious Firefox Extensions Exposed” https://blog.koi.security/foxywallet-40-malicious-firefox-extensions-exposed-4c14419de486
Deja una respuesta