Photo par Des chercheurs de la société de sécurité Koi ont découvert une campagne en cours propageant des extensions de portefeuilles malveillantes sur Firefox. Ces applications malveillantes usurpent les portefeuilles les plus utilisés, dérobant les phrases de récupération et exposant les utilisateurs à un risque de vidage de leurs fonds.
Une campagne en cours diffuse des extensions malveillantes qui usurpent l'identité de certains des portefeuilles crypto les plus courants sur Firefox. Koi Security a constaté que certaines de ces applications ont été supprimées, tandis que d'autres restent actives, se faisant passer pour des portefeuilles légitimes.
L'équipe à l'origine de l'attaque SlowMist a également mis en garde les utilisateurs, les appelant à la vigilance car l'attaque est toujours en cours. Les fausses applications se propagent via la boutique d'applications officielle de Firefox, ce qui les rend potentiellement plus trompeuses et dangereuses.
🚨Alerte SlowMist TI🚨
Une vaste campagne malveillante impliquant des dizaines de fausses extensions Firefox dent est en cours. Plus de 40 fausses extensions imitent des portefeuilles comme MetaMask, Coinbase Wallet, Trust Wallet, Phantom, OKX… pic.twitter.com/IIfE5ifxJi
— SlowMist (@SlowMist_Team) 3 juillet 2025
L'attaque est relativement simple, mais cible les utilisateurs les plus naïfs, ceux qui recherchent un accès occasionnel aux cryptomonnaies. Utiliser une application compromise ou y saisir ses phrases de récupération peut entraîner des pertes importantes. Des utilisateurs signalent déjà des pertes liées à ces fausses applications.
Les piratages et les exploits se sont accélérés au premier semestre 2025, parallèlement à la hausse de la valeur des cryptomonnaies. Des menaces provenaient également de pirates informatiques nord-coréens infiltrant des projets, des centaines d'utilisateurs potentiellement touchés par des codes malveillants.
Les fausses extensions Firefox ciblent les portefeuilles électroniques les plus utilisés
Koi a intercepté de fausses applications pour certaines des extensions de portefeuille les plus utilisées, notamment Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet et Filfox.
Les chercheurs ont découvert plus de 40 applications se faisant passer pour des portefeuilles électroniques, et de nouvelles apparaissent régulièrement. Certaines de ces fausses applications restent actives sur des liens non officiels. Selon les chercheurs, leur diffusion a commencé aux alentours d'avril 2025.
Les extensions effectuenttracet envoient des extensions de portefeuille, atteignant un serveur contrôlé par l'attaquant. Les applications transmettent également l'adresse IP de l'utilisateur à des fins tracet de ciblage ultérieur.
Des attaquants ont cloné le code source ouvert de portefeuilles légitimes
L'attaque était relativement simple, utilisant souvent le code légitime des portefeuilles numériques de projets open source comme MetaMask. Les fausses applications injectaient ensuite le code malveillant pour permettre au portefeuille de voler des données et desdent.
Les applications de portefeuille contrefaites étaient actives sur les plateformes de téléchargement, utilisant les mêmes logos et le même style que le portefeuille original. Auparavant, les portefeuilles contrefaits ciblaient des projets de niche spécifiques, mais cette fois-ci, l'attaquant a usurpé l'identité de portefeuilles multi-actifs, largement utilisés pour DeFi, le trading, les NFT et d'autres opérations sur la blockchain.
L'analyse du code a conclu que l'attaque provenait très probablement de Russie, des commentaires de code en russe ayant été découverts dans certaines applications. Les métadonnées d'un fichier sur l'un des serveurs de commande et de contrôle pointent également vers un attaquant russe.
Koi conseille aux utilisateurs d'installer un filtre de liste blanche et d'éviter de télécharger des applications sans les avoir vérifiées au préalable. Certaines applications peuvent sembler fonctionner normalement, mais des mises à jour ultérieures peuvent modifier leur comportement. Les experts en sécurité déconseillent également de rechercher directement des applications, car les résultats peuvent mener à de faux portefeuilles avec des avis cinq étoiles volontairement gonflés. Il est préférable de consulter le site web officiel du portefeuille ou ses réseaux sociaux.
Il a également été conseillé aux utilisateurs de se montrer sceptiques face à une application affichant trop d'avis cinq étoiles, placés artificiellement pour donner à l'application une apparence établie et légitime.
