Depuis avril 2025, plus de 40 extensions malveillantes ont été découvertes sur le Firefox Add-ons Store. Celles-ci ciblent principalement les utilisateurs de portefeuilles cryptos populaires tels que Coinbase, MetaMask, Trust Wallet, Phantom ou encore Exodus. Ces modules se font passer pour des versions légitimes tout en exfiltrant les clés privées et les phrases de récupération, compromettant ainsi les fonds numériques des victimes.
Origine de la menace: Une opération bien organisée
Acteurs soupçonnés et méthodes
Les extensions malicieuses sont issues de clones du code source de portefeuilles existants. Les attaquants y injectent des scripts qui surveillent les champs de saisie dans l’interface utilisateur. Lorsqu’une séquence de plus de 30 caractères est détectée, celle-ci est automatiquement transmise à un serveur distant, accompagnée de l’adresse IP de l’utilisateur. Des indices comme des commentaires en russe dans le code et des métadonnées issues de fichiers PDF suggèrent une origine russophone.
Infrastructure et sophistication
Les domaines de commande et de contrôle utilisés par ces extensions sont hébergés sur des infrastructures résilientes. Dans certains cas, des passerelles entre extensions sont même créées, ce qui complexifie la détection automatisée. Par ailleurs, les extensions sont conçues pour afficher une interface fonctionnelle et familière, ce qui permet de maintenir l’utilisateur dans un faux sentiment de sécurité.
Techniques d’ingénierie sociale: La confiance manipulée
Faux avis et classement artificiel
Pour gagner la confiance des utilisateurs, les auteurs ont généré de nombreux avis 5 étoiles sur les pages de téléchargement. Certains modules affichaient plus de commentaires que le nombre total d’installations enregistrées, ce qui a permis de manipuler l’algorithme de classement du Firefox Add-ons Store.
Logos officiels et noms similaires
Les extensions frauduleuses utilisaient les logos originaux et des noms très proches de ceux des vraies applications, rendant la confusion presque inévitable. De plus, elles n’affichaient aucun comportement anormal visible, ce qui les rendait très difficiles à repérer par un utilisateur non averti.
Réaction de Mozilla et du secteur
Retrait rapide mais tardif
Mozilla a fini par supprimer les extensions incriminées, mais certaines sont restées actives plusieurs semaines, compromettant potentiellement des milliers d’utilisateurs. La firme travaille actuellement sur une nouvelle politique de vérification manuelle et sur un renforcement des systèmes de signalement communautaire.
Recherche et divulgation
Les découvertes initiales proviennent des analystes de Koi Security et SlowMist, qui ont publié des rapports détaillés sur les attaques. Les informations ont ensuite été reprises par plusieurs médias spécialisés, comme The Hacker News, BleepingComputer ou SC Media.
Mesures de prévention essentielles
Recommandations aux utilisateurs
- Installer uniquement des extensions vérifiées provenant des sites officiels.
- Lire attentivement les permissions demandées avant toute installation.
- Vérifier les avis et croiser les informations avec des sources fiables.
- Supprimer immédiatement toute extension non utilisée ou suspecte.
Solutions plus sûres pour les cryptomonnaies
L’utilisation de portefeuilles matériels (cold wallets) est vivement recommandée. Ces dispositifs stockent les clés privées hors ligne, rendant leur vol beaucoup plus difficile. De plus, activer l’authentification à deux facteurs, utiliser un VPN et ne jamais copier-coller de phrases de récupération sur un navigateur sont autant de bonnes pratiques à adopter.
Contexte élargi et menace persistante
Cette campagne s’inscrit dans une tendance plus large d’exploitation des utilisateurs d’applications décentralisées. Des produits contrefaits circulent sur les réseaux sociaux (TikTok, Douyin) et des versions modifiées de logiciels légitimes comme Ledger Live ont été détectées. La frontière entre logiciel légitime et piège numérique devient de plus en plus floue.
Conclusion
Les extensions malveillantes découvertes sur Firefox illustrent l’évolution constante des techniques de cyberfraude. Bien que Mozilla ait réagi, ces événements rappellent que la sécurité numérique repose d’abord sur la vigilance individuelle. En privilégiant les sources officielles, en se méfiant des notes et avis manipulés, et en adoptant des outils plus robustes comme les portefeuilles matériels, les utilisateurs peuvent considérablement réduire leur exposition aux risques. La guerre contre la fraude en ligne est loin d’être terminée, mais une hygiène numérique rigoureuse reste la meilleure défense.