Depuis le mois d’avril, des extensions malveillantes circulent sur la boutique officielle de Firefox, sous des noms évoquant des portefeuilles numériques bien connus : MetaMask, Trust Wallet, Phantom, Exodus ou encore Coinbase. Derrière ces intitulés familiers se cache en réalité une vaste opération de vol de données menée à travers plus de 40 modules frauduleux, toujours actifs pour certains.
Une fausse sécurité dans le navigateur
Ces extensions sont conçues pour paraître authentiques. Elles récupèrent le code de projets open source légitimes, y injectent du code malveillant, puis les publient en ligne sous des appellations identiques ou très proches des originales, en reprenant logos et interfaces. Une stratégie simple, mais efficace : « Ce type d’attaque, peu coûteux à déployer, conserve une apparence crédible et réduit les risques de détection immédiate », explique Yuval Ronen, chercheur chez Koi Security.
Une fois installés, ces add-ons n’affichent aucun comportement suspect en surface. Mais en coulisse, ils capturent les informations sensibles présentes sur les sites de gestion de portefeuilles : clés privées, phrases de récupération, voire l’adresse IP de la victime. Toutes ces données sont ensuite transmises à des serveurs distants contrôlés par les pirates.
Pour inspirer confiance, les créateurs de ces extensions truquent aussi leur popularité. La boutique Firefox regorge de fausses évaluations cinq étoiles rédigées pour gonfler artificiellement la réputation de ces modules. Dans bien des cas, le nombre d’avis dépasse largement celui des utilisateurs actifs. Le but : convaincre l’utilisateur qu’il installe une extension populaire, donc fiable.
La présence de commentaires en russe dans le code source et de métadonnées en cyrillique sur un document PDF retrouvé sur un serveur distant laisse penser que l’opération pourrait être pilotée par un groupe russophone. Mais l’attribution reste à ce stade difficile à identifier.
Mozilla a depuis retiré la plupart des extensions identifiées, à l’exception notable de celle qui usurpe MyMonero. L’organisation affirme avoir mis en place un système de détection précoce pour repérer ce type d’arnaques avant qu’elles ne deviennent trop visibles.
Pour l’équipe de Koi Security, cette affaire est un rappel que les extensions doivent être traitées comme de véritables logiciels : elles ont accès à des données sensibles et peuvent évoluer sans avertissement, y compris après installation. Le conseil est clair : ne faire confiance qu’à des éditeurs vérifiés, éviter les modules inconnus, et surveiller leur comportement dans le temps.
Les extensions malveillantes listées utilisent des noms comme trust-extension-wallet, official-metamask-wallet, ou encore okx-wallet-extension1, et se connectent à des domaines suspects comme exodlinkbase[.]digital ou allextdev[.]world. Pour les experts, le nombre et la diversité des faux modules montrent que la campagne est toujours en cours, avec des mises à jour régulières et une infrastructure bien en place.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
