En un descubrimiento preocupante, más de cuarenta extensiones falsificadas que imitan aplicaciones populares de billeteras como Coinbase, MetaMask y Trust Wallet permanecen activas en la tienda de extensiones de Firefox de Mozilla. Según el informe de Koi Security de fecha 2 de julio de 2025, estas extensiones falsas ponen en peligro los activos de los usuarios al recolectar clandestinamente credenciales de billetera de criptomonedas. Los investigadores confirmaron la persistencia de esta campaña engañosa desde al menos abril, con nuevas extensiones agregadas a la tienda tan recientemente como la semana pasada. Cientos de reseñas falsas de cinco estrellas aumentan engañosamente la credibilidad de las extensiones.
Extensiones Falsas Atacan la Tienda de Firefox
Las extensiones falsas imitan los logotipos oficiales y las descripciones de los principales servicios de billeteras de criptomonedas como MetaMask, presentando un aire de legitimidad. Al usar palabras clave populares en los resultados de búsqueda de la tienda, suben rápidamente en las listas de descargas. Una vez instaladas, aunque la interfaz del navegador parece genuina, los scripts incrustados capturan claves privadas y frases de recuperación, enviándolas a servidores maliciosos.
Koi Security señaló que el código malicioso está oculto dentro de módulos JavaScript de código cerrado, evadiendo los análisis automatizados. Al abusar de la gestión de permisos de Firefox, las extensiones exigen amplios derechos de seguimiento web y pueden capturar contraseñas de usuarios ingresadas en nuevas pestañas. Las víctimas desprevenidas instalan lo que creen que es una sola extensión de billetera, pero en realidad se convierten en objetivos de múltiples scripts.
Pistas Rusas Desenmascaran Atacantes
El informe destaca descubrimientos de comentarios rusos en archivos PDF y notas de código fuente alojadas en los servidores de comando y control vinculados a las extensiones maliciosas. Aunque los investigadores de seguridad sugieren que estas pistas indican un actor de amenazas de habla rusa, reconocen la falta de pruebas concluyentes. Sin embargo, las marcas de tiempo geográficas, las rutas de archivos y los mensajes de error que refuerzan el mismo idioma refuerzan los hallazgos.
Lo más importante, desde el ataque inicial en abril, se han subido más de 60 versiones, con el último despliegue malicioso ocurriendo hace solo una semana. Estas extensiones se actualizan continuamente y, cuando surgen firmas de detección, cambian de nombre para reaparecer sin ser detectadas. Koi Security aconseja que algunas copias siguen sin ser verificadas en la tienda de Firefox y urge a los usuarios a actualizar las extensiones solo a través de enlaces redirigidos desde sitios oficiales.
- Más de 40 extensiones falsas están activas en la tienda de Firefox.
- Las extensiones imitan logos y descripciones de servicios de billeteras criptográficas.
- Koi Security recomienda actualizar extensiones a través de enlaces de sitios oficiales.
