Scoperti oltre 40 estensioni malevole per Firefox che minacciano i portafogli di criptovalute
Ricercatori di sicurezza informatica hanno individuato più di 40 estensioni malevole per il browser Mozilla Firefox, progettate per rubare i segreti dei portafogli di criptovalute, mettendo a rischio gli asset digitali degli utenti. Queste estensioni si spacciano per strumenti legittimi di portafogli di piattaforme ampiamente utilizzate come Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet e Filfox.
La campagna su larga scala è in corso almeno da aprile 2025, con nuove estensioni caricate nel negozio di componenti aggiuntivi di Firefox fino alla scorsa settimana. Le estensioni identificate sono state trovate a gonfiare artificialmente la loro popolarità, aggiungendo centinaia di recensioni a 5 stelle che superano di gran lunga il numero totale di installazioni attive. Questa strategia viene utilizzata per dare un’illusione di autenticità, facendo sembrare che siano ampiamente adottate e ingannando gli utenti ignari a installarle.
Un’altra tattica adottata dagli attori della minaccia per aumentare la fiducia consiste nel far passare questi componenti aggiuntivi come strumenti di portafoglio legittimi, utilizzando gli stessi nomi e loghi. Il fatto che alcune delle estensioni reali fossero open-source ha permesso agli attaccanti di clonare il loro codice sorgente e iniettare la propria funzionalità malevola per estrarre chiavi di portafoglio e frasi seed dai siti web mirati e trasferirle a un server remoto. Le estensioni rogue sono state trovate anche a trasmettere gli indirizzi IP esterni delle vittime.
A differenza delle tipiche truffe di phishing che si basano su siti web o email falsi, queste estensioni operano all’interno del browser dell’utente, rendendole molto più difficili da rilevare o bloccare con strumenti tradizionali per endpoint. Questo approccio a basso sforzo e ad alto impatto ha permesso agli attori di mantenere l’esperienza utente prevista riducendo le possibilità di rilevamento immediato.
Tutti i componenti aggiuntivi identificati, ad eccezione di MyMonero Wallet, sono stati rimossi da Mozilla. Il mese scorso, il produttore del browser ha sviluppato un “sistema di rilevamento precoce” per individuare e bloccare le estensioni di portafogli di criptovalute fraudolente prima che guadagnino popolarità tra gli utenti e vengano utilizzate per rubare i beni degli utenti ingannandoli a inserire le loro credenziali.
Per mitigare il rischio posto da tali minacce, si consiglia di installare estensioni solo da editori verificati e di controllarle per assicurarsi che non cambino silenziosamente il loro comportamento dopo l’installazione.
Hai trovato interessante questo articolo? Seguici per leggere altri contenuti esclusivi che pubblichiamo.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
