Investigadores de la empresa de seguridad Koi descubrieron una campaña en curso que propaga extensiones de billetera maliciosas en Firefox. Las aplicaciones maliciosas suplantan las billeteras más utilizadas, robando frases privadas y dejando a los usuarios vulnerables a ser drenados.
Una campaña en curso está propagando extensiones maliciosas, suplantando algunas de las billeteras de criptomonedas más comunes en Firefox. Koi Security descubrió que algunas de las aplicaciones fueron eliminadas, mientras que otras aún estaban activas, haciéndose pasar por billeteras legítimas.
El equipo de ataque SlowMist también advirtió a los usuarios que estén alerta, ya que el ataque sigue activo. Las aplicaciones falsas se están propagando a través de la tienda de aplicaciones oficial de Firefox, lo que las hace potencialmente más engañosas y peligrosas.
🚨Alerta TI de SlowMist🚨
Una masiva campaña maliciosa que involucra docenas de extensiones falsas de #Firefox diseñadas para robar credenciales de billeteras de criptomonedas está en marcha. Más de 40 extensiones falsas suplantan billeteras de confianza como MetaMask, Coinbase Wallet, Trust Wallet, Phantom, OKX,… pic.twitter.com/IIfE5ifxJi
— SlowMist (@SlowMist_Team) 3 de julio de 2025
El ataque es relativamente simple, pero apunta al tipo de usuario más fácil, que busca acceso casual a las criptomonedas. Usar una aplicación comprometida, o introducir frases privadas en una, puede llevar a pérdidas significativas. Los usuarios ya están reportando pérdidas por las aplicaciones falsas.
Los hacks y exploits se aceleraron en la primera mitad de 2025, a medida que las criptomonedas aumentaron de valor. Las amenazas también provinieron de hackers de la DPRK infiltrándose en proyectos, con cientos potencialmente afectados por código malicioso.
Las extensiones falsas de Firefox apuntan a las billeteras más utilizadas
Koi interceptó aplicaciones falsas para algunas de las extensiones de billetera más utilizadas, incluyendo Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet y Filfox.
Los investigadores descubrieron más de 40 aplicaciones que se hacen pasar por billeteras, con nuevas apareciendo. Algunas de las billeteras falsas aún están activas en enlaces no oficiales. Según los investigadores, las aplicaciones falsas comenzaron a propagarse alrededor de abril de 2025.
Las extensiones extraen y envían extensiones de billetera, alcanzando un servidor controlado por el atacante. Las aplicaciones también transmiten la dirección IP del usuario para seguimiento y un mayor objetivo.
Los atacantes clonaron el código de código abierto de billeteras legítimas
El ataque fue relativamente simple, a menudo utilizando el código de la billetera legítima para proyectos de código abierto como MetaMask. Las aplicaciones falsas luego inyectaron el código malicioso para permitir que la billetera robara datos y credenciales.
Las aplicaciones de billetera falsas estaban activas en las tiendas de aplicaciones, utilizando los mismos logotipos y estilo que la billetera original. Anteriormente, las billeteras falsas han apuntado a proyectos de nicho específicos, pero esta vez, el atacante suplantó billeteras de múltiples activos, ampliamente utilizadas para DeFi, comercio, NFT y otras tareas en cadena.
El análisis de código concluyó que el ataque probablemente se originó en Rusia, ya que se descubrieron comentarios de código en ruso en algunas de las aplicaciones. Los metadatos de un archivo en uno de los servidores de comando y control también apuntan a un atacante ruso.
Koi aconseja a los usuarios instalar un filtro de lista de permitidos y evitar descargar aplicaciones sin verificar. Algunas de las aplicaciones pueden no mostrar problemas, pero luego se actualizan y cambian su comportamiento. Los investigadores de seguridad también aconsejan no buscar aplicaciones directamente, ya que los resultados pueden señalar billeteras falsas con reseñas de cinco estrellas infladas deliberadamente. El mejor enfoque es usar la página web oficial de la billetera o las redes sociales.
A los usuarios también se les aconsejó ser escépticos al ver una aplicación con demasiadas reseñas de cinco estrellas, que fueron colocadas artificialmente para hacer que la aplicación parezca establecida y legítima.
Diferencia CLAVE Wire: la herramienta secreta que los proyectos de criptomonedas utilizan para obtener cobertura mediática garantizada
