Pesquisadores de cibersegurança descobriram mais de 40 extensões maliciosas para o navegador Mozilla Firefox que têm como alvo carteiras de criptomoedas, roubando chaves privadas e frases semente para transferir os ativos digitais das vítimas. Essas extensões se passam por ferramentas legítimas de plataformas populares como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet e Filfox. A campanha estaria ativa desde abril de 2025, com novos uploads na loja de complementos do Firefox até a semana passada.
Para enganar os usuários, os criminosos clonaram o código fonte de extensões open source, adicionaram código malicioso e usaram os mesmos nomes e logos dos serviços originais. Além disso, inflaram artificialmente a popularidade com centenas de avaliações falsas de 5 estrelas, criando uma falsa sensação de confiança. Uma vez instaladas, as extensões roubavam chaves e frases semente diretamente no navegador e enviavam os dados junto com o endereço IP das vítimas para servidores controlados pelos atacantes.
Diferente de golpes tradicionais de phishing, essa técnica é mais difícil de detectar por atuar dentro do navegador e manter a experiência normal de uso. Análises de código e arquivos de um servidor C2 apontam para um grupo de cibercriminosos de língua russa. Até o momento todas as extensões identificadas exceto a do MyMonero Wallet foram removidas pela Mozilla. A empresa também anunciou um sistema de detecção antecipada para bloquear complementos fraudulentos antes que se popularizem. Especialistas recomendam instalar extensões apenas de desenvolvedores verificados e monitorar se há alterações suspeitas no comportamento após a instalação.
