Advertencia: actualmente hay más de 40 extensiones falsas de Firefox que roban carteras de criptomonedas.

Se ha detectado una campaña maliciosa sofisticada y de gran escala, relacionada con decenas de extensiones falsas en el navegador Firefox, con el objetivo de robar la información de las billeteras de criptomonedas de los usuarios.

Según un informe del grupo de investigación de seguridad Koi Security, se han identificado al menos 40 utilidades maliciosas que se hacen pasar por billeteras famosas como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet y Filfox.

Esta campaña ha estado operando silenciosamente desde al menos abril de 2025 y sigue en curso. Muchas extensiones maliciosas incluso siguen apareciendo en la tienda de complementos de Firefox hasta la semana pasada. Estas extensiones funcionan robando la información de acceso a las billeteras de criptomonedas directamente de los sitios web que los usuarios visitan, y luego envían los datos a un servidor controlado por el atacante. Además, también recopilan la dirección IP externa de la víctima, que podría tener como objetivo el seguimiento o la focalización de ataques más profundos.

Estas herramientas están diseñadas para engañar a los usuarios a través de tácticas de generación de confianza populares, como reseñas falsas de 5 estrellas, interfaces y nombres idénticos a los de la herramienta oficial, lo que facilita la confusión del usuario. En algunos casos, el atacante ha copiado el código abierto de la herramienta original, solo agregando unas pocas líneas de código malicioso para robar datos, manteniendo así la experiencia del usuario para evitar sospechas.

Koi Security informa que esta campaña podría originarse de un grupo de habla rusa, basado en los fragmentos de código comentados en ruso y los metadatos en el documento PDF recuperado del servidor de control (C2). Sin embargo, el grupo de investigación señala que la atribución aún no tiene una conclusión definitiva.

Recomendaciones de Koi Security:

• Solo instala extensiones de desarrolladores verificados.
• No se debe confiar completamente en las valoraciones y clasificaciones altas en las tiendas de aplicaciones.
• Construir una lista blanca de las utilidades permitidas en la organización.
• Realizar una supervisión continua ya que la aplicación puede actualizarse con malware después de la instalación.

Koi Security sostiene que la gestión de las extensiones de navegador, que tienen acceso profundo al sistema, es un aspecto de la ciberseguridad que a menudo ha sido subestimado durante mucho tiempo. Las herramientas de Koi están siendo utilizadas por grandes corporaciones, instituciones financieras y tecnológicas para auditar y controlar los riesgos de las extensiones de navegador y el código abierto en plataformas como Firefox, Chrome Web Store, VSCode, Hugging Face, Homebrew, GitHub…

Hán Tín