Des chercheurs de Koi Security ont découvert une campagne de grande ampleur dans le Firefox Add‑ons Store : plus de 40 extensions usurpant des portefeuilles connus (MetaMask, Coinbase, Trust Wallet, Phantom, Exodus, OKX…) ont été repérées. Actives depuis au moins avril 2025, certaines ont été mises en ligne aussi récemment que la semaine dernière arstechnica.com+12thehackernews.com+12bleepingcomputer.com+12.
🛡️ Méthodes d’usurpation et collecte de données
Les extensions se présentent sous les noms et logos officiels de portefeuilles populaires pour masquer leur nature malveillante thehackernews.com.
La majorité sont des clones de solutions open-source : le code légitime est reproduit, puis une logique malveillante est insérée pour extraire les clés privées et phrases mnémoniques, et les transmettre à un serveur distant bleepingcomputer.com.
Certains scripts interceptent les champs de saisie dès que l’utilisateur entre plus de 30 caractères—typiquement la longueur d’une vraie clé ou phrase de récupération .
Les extensions affichent de faux avis 5 étoiles en grand nombre pour tromper l’utilisateur quant à leur popularité thehackernews.com.
🌍 Profil de l’attaquant
Les analyses du code source et des métadonnées révèlent des indices d’un groupe parlant russe .
✅ Réponse de Mozilla
La quasi-totalité de ces extensions (sauf MyMonero Wallet) ont été retirées du store cryptonews.com+2thehackernews.com+2bleepingcomputer.com+2.
Mozilla a également indiqué avoir mis en place un système de détection précoce pour bloquer les extensions de portefeuille crypto malicieuses dès qu’elles sont identifiées thehackernews.com.
🔐 Recommandations pour les utilisateurs
N’installez que depuis des auteurs vérifiés, et évitez les versions VSIX ou sources non officielles.
Vérifiez les statistiques de téléchargement et les avis : un écart anormal entre nombre d’installations et reviews est suspect.
Si vous avez déjà installé une extension de portefeuille, supprimez-la immédiatement et surveillez vos comptes pour toute activité inhabituelle.
Privilégiez les solutions open source et transparentes, comme uBlock Origin, pour limiter les risques d’expositions en.wikipedia.org.
🧩 Contexte général
Cette vague malveillante s’inscrit dans une montée en puissance des menaces sur les extensions navigateur. Firefox, avec ses API souples, facilite l’injection de comportements malveillants, comme le démontre une étude récente signalant qu’un tiers des extensions malveillantes détectées sur Chrome étaient encore actives malgré les contrôles réguliers .
🧠 À retenir
Impact : des crypto-actifs volés directement via le navigateur, irréversibles et invisibles à l’utilisateur.
Souplesse exploitée : les API Firefox permettent cette manipulation, car elles sont plus permissives que celles de Chrome .
Nécessité : vigilance accrue lors de l’ajout d’extensions, contrôles réguliers, et utilisation de sources fiables.