Un nuovo rapporto della società di sicurezza informatica Koi Security ha rivelato una campagna su larga scala che prevede l'utilizzo di false estensioni del browser Firefox per rubare le credenziali dei portafogli crittografici.
Secondo la ricerca, sono state individuate più di 40 estensioni che impersonano strumenti di wallet per criptovalute molto diffusi, consentendo agli aggressori di sottrarre informazioni sensibili a utenti ignari.
Questi componenti aggiuntivi sono stati progettati per imitare da vicino le applicazioni legittime di piattaforme note come MetaMask, Coinbase, Phantom, Trust Wallet, Exodus, OKX e altre.
All'interno delle estensioni Fake Wallet su Firefox
La campagna, tuttora attiva, è stata individuata per la prima volta già nell'aprile 2025. Nei risultati pubblicati mercoledì, Koi Security ha confermato che le estensioni false erano state caricate sullo store dei componenti aggiuntivi di Firefox già la settimana scorsa.
Alcune di queste estensioni erano ancora disponibili al momento della stesura del rapporto, sollevando preoccupazioni circa la continua esposizione delle chiavi private e dei dati dei portafogli degli utenti.
Una volta installati, i componenti aggiuntivi raccoglievano in modo discreto le credenziali sensibili, creando punti di accesso diretto che consentivano agli aggressori di rubare le risorse degli utenti attraverso più reti blockchain .
Gli esperti di sicurezza affermano che questa operazione rappresenta una minaccia particolare a causa della sua longevità, della sua furtività e della sua sofisticatezza tecnica. Il fatto che nuove estensioni vengano caricate anche ora suggerisce che la campagna non sia solo attiva, ma persistente, in continua evoluzione per evitare di essere rilevata.
Imitando i wallet più diffusi e aggirando i sistemi di revisione dei browser, gli autori di questa iniziativa sfruttano sia l'ingegneria sociale che lo spoofing tecnico per prendere di mira gli utenti di criptovalute.
Tattiche, attribuzione e implicazioni più ampie per la sicurezza crittografica
Nel tentativo di affermare la propria credibilità, molte delle estensioni contraffatte erano state arricchite con centinaia di valutazioni a cinque stelle e recensioni positive. Questi falsi segnali di legittimità hanno probabilmente contribuito a convincere gli utenti a scaricare gli strumenti senza sospettare alcunché di illecito.
Anche il design, il branding e le convenzioni di denominazione delle estensioni assomigliavano molto a quelli dei fornitori ufficiali di portafogli elettronici, aggiungendo un ulteriore livello di inganno.
I ricercatori di Koi Security hanno individuato diversi indicatori tecnici che suggerivano la presenza di un potenziale gruppo russofono dietro la campagna. L'analisi delle estensioni ha rivelato commenti in lingua russa incorporati nel codice e i documenti collegati all'infrastruttura di comando e controllo contenevano metadati in russo.
Sebbene questi indizi non siano definitivi, sono in linea con le tattiche osservate in precedenti campagne di attori di minacce provenienti dall'Europa orientale. "Sebbene non siano conclusivi, questi artefatti suggeriscono che la campagna potrebbe avere origine da un gruppo di attori di minacce di lingua russa", osserva il rapporto.
La portata e la persistenza dell'operazione indicano un'azione organizzata. Koi Security ha sottolineato che non si tratta di un exploit isolato, ma di una tattica in continua evoluzione che potrebbe colpire altri browser e piattaforme crypto in futuro.
Il rapporto raccomanda agli utenti di evitare di scaricare estensioni del browser al di fuori delle raccomandazioni ufficiali del fornitore di wallet e di verificare attentamente le informazioni degli sviluppatori sulle pagine dei componenti aggiuntivi. Incoraggia inoltre gli utenti a verificare le autorizzazioni richieste dalle estensioni e a rimuovere qualsiasi strumento non installato esplicitamente o che non riconoscono più.
Immagine in evidenza creata con DALL-E, grafico da TradingView