Des chercheurs en cybersécurité de Koi Security viennent de mettre au jour une vaste opération de phishing ciblant les utilisateurs de Firefox : plus de 40 extensions malveillantes imitant des portefeuilles de cryptomonnaies ont été identifiées sur le site officiel des modules complémentaires du navigateur. L’objectif, clair et cynique, : subtiliser les phrases de récupération (« seed phrases ») et les identifiants des portefeuilles pour dérober les actifs numériques de victimes peu méfiantes.
Une opération active depuis avril 2025
Selon le rapport de Bleeping Computer relayé par Mozilla, cette campagne malveillante est en cours d’au moins avril 2025, et s’est poursuivie récemment avec l’ajout de nouvelles extensions dans la dernière semaine. Les pirates ont exploité la relative confiance accordée à la plateforme officielle de Firefox Add-ons en publiant leurs modules sous des noms quasi identiques à ceux de portefeuilles légitimes.
Des portefeuilles populaires usurpés
- Coinbase
- MetaMask
- Trust Wallet
- Phantom
- Exodus
- OKX
- Keplr
- MyMonero
- Bitget
- Leap
- Ethereum Wallet
- Filfox
Ces noms de domaines et logos soigneusement reproduits permettent aux escrocs de profiter de la confusion des internautes. Certaines extensions malveillantes reprennent même le code source open-source des modules officiels, y injectant en toute discrétion des fonctions de surveillance et d’exfiltration de données.
Techniques de compromission et collecte de données
Les chercheurs ont mis en évidence plusieurs points clés :
- Injection de code malveillant dans des versions modifiées d’extensions open source, pour assurer une première phase d’installation sans alerte.
- Fausse notation 5 étoiles issue d’avis utilisateurs inventés, pour inspirer la confiance et inciter au téléchargement.
- Surveillance des clics et des saisies : des portions de code ciblent les champs de saisie de plus de 30 caractères, typiques des seed phrases.
- Transmission en temps réel : une fois la phrase de récupération ou les identifiants capturés, les données sont envoyées à un serveur distant, accompagné de l’adresse IP publique de la victime.
Ces techniques relèvent du « neural mismatch » numérique : le navigateur, perçu comme sécurisé, devient le premier vecteur d’attaque contre des utilisateurs pourtant vigilants.
Impact concret pour les utilisateurs
La portée de cette campagne est considérable : en accédant à la seed phrase d’un portefeuille, un cybercriminel peut transférer l’intégralité des actifs en quelques secondes, sans possibilité de retour en arrière. Plusieurs victimes ont déjà rapporté des disparitions de montants à cinq ou six chiffres, dont les enquêteurs ont pu retracer l’origine vers ces extensions frauduleuses.
Réaction de Mozilla et nouvelles mesures de sécurité
Quelques heures après la publication des résultats de Koi Security, Mozilla a annoncé la suppression de la plupart des extensions malveillantes. Le fabricant du navigateur met en avant :
- Un renforcement du processus de revue des modules, intégrant désormais des contrôles automatisés spécifiques aux portefeuilles de cryptomonnaies.
- La mise en place d’outils de détection proactive des comportements suspects (surveillance de saisies massives, injection de scripts exfiltrant des données).
- Un suivi régulier des signalements envoyés par la communauté, avec une suppression en temps réel des extensions identifiées.
Mozilla indique également qu’il reste quelques modules à examiner et que l’effort se poursuivra pour garantir la sécurité de tous les utilisateurs de Firefox.
Conseils de vigilance pour les internautes
Pour éviter d’être la prochaine victime, voici quelques recommandations essentielles :
- Vérifier rigoureusement le nom et l’éditeur de toute extension liée aux cryptomonnaies.
- Consulter les commentaires et les historiques de mise à jour : un module récent avec peu d’historique est un signal d’alerte.
- Privilégier les téléchargements depuis le site officiel du portefeuille ou de la dApp concernée.
- Utiliser un gestionnaire de mots de passe et activer l’authentification à deux facteurs, lorsque c’est possible.
- Conserver les seed phrases hors ligne, dans un coffre sécurisé, jamais stockées en clair dans un navigateur.
Un phénomène qui se répète, une réponse en constante évolution
Cette campagne de fausses extensions pour Firefox rappelle que la sécurité en ligne est un défi permanent, particulièrement dans l’univers des cryptomonnaies. Les outils et les procédures doivent s’adapter sans cesse aux nouvelles techniques d’attaque. Les plateformes et navigateurs investissent massivement dans la détection automatique et la vérification humaine, mais la meilleure défense reste la vigilance de chaque utilisateur.