Si tienes Cripto y usas Firefox, los Hackers te están apuntando.

La firma de ciberseguridad Koi Security ha descubierto una campaña maliciosa a gran escala que apunta a usuarios de criptomonedas a través de extensiones falsas de Firefox.

La campaña involucra más de 40 extensiones que imitan herramientas de billetera criptográfica ampliamente utilizadas.

Esto incluye Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet y Filfox. Una vez instaladas, estas extensiones roban silenciosamente las credenciales de la billetera y las exfiltran a servidores controlados por atacantes, poniendo en riesgo inmediato los activos del usuario.

Usuarios de Cripto en Riesgo

En su última publicación, Koi Security reveló que la campaña ha estado activa desde al menos abril de 2025. De hecho, nuevas cargas fraudulentas aparecieron en la tienda de complementos de Mozilla tan recientemente como la semana pasada, lo que indica que la operación está en curso, es adaptativa y persistente.

Estas extensiones transmiten las direcciones IP externas de las víctimas durante la inicialización, probablemente para rastrear o apuntar, mientras extraen secretos de billetera directamente de los sitios objetivo. Al copiar calificaciones, reseñas y marcas, los atacantes hacen que sus extensiones parezcan confiables, lo que eventualmente lleva a más usuarios a descargarlas.

Muchos de los complementos falsos tenían cientos de reseñas positivas falsas, superando su base de usuarios real, lo que les permitió parecer ampliamente adoptados y reputables dentro del ecosistema de complementos de Mozilla.

En varios casos, se encontró que los atacantes habían clonado extensiones de billetera de código abierto reales e incrustado lógica maliciosa mientras mantenían la funcionalidad esperada. Esto se hizo para evitar la detección y garantizar una experiencia de usuario fluida, una táctica que permitió el robo continuo de credenciales sin levantar sospechas.

La investigación de Koi Security rastreó la infraestructura compartida de la campaña y las tácticas, técnicas y procedimientos (TTPs) a través de las extensiones y reveló una operación coordinada centrada en la recolección de credenciales y el seguimiento de usuarios dentro del ecosistema crypto. Se instó a los usuarios de Firefox a revisar las extensiones instaladas de inmediato, desinstalar herramientas sospechosas y rotar las credenciales de la billetera siempre que sea posible.

La firma también dijo que está colaborando activamente con Mozilla para eliminar las extensiones maliciosas identificadas y para monitorear nuevas cargas vinculadas a esta campaña.

Pistas Rusas en el Código de la Campaña

La evidencia sugiere que un grupo de amenazas de habla rusa puede estar detrás de la campaña. Koi Security afirmó haber encontrado notas en ruso ocultas en el código de la extensión y metadatos de un PDF en un servidor de control que muestran texto en ruso.

Estas pistas no son una prueba final, pero apuntan a un posible actor de habla rusa que está llevando a cabo la operación.

El último informe aparece meses después de que se detectara un posible esquema de phishing de criptomonedas vinculado a Rusia, que utilizaba enlaces falsos de reuniones de Zoom para robar millones, por parte de SlowMist. La firma de seguridad blockchain rastreó la actividad del malware hasta un servidor en los Países Bajos, pero encontró scripts en ruso en las herramientas de los atacantes, lo que indica posibles operativos de habla rusa. Los atacantes drenaron billeteras y convirtieron activos robados en ETH en los principales intercambios.