Desde abril de 2025, Mozilla Firefox ha sido objeto de una campaña masiva de extensiones fraudulentas que imitan aplicaciones legítimas como Coinbase, MetaMask, Trust Wallet y otras carteras de criptomonedas. Especialistas de Koi Security identificaron más de 40 extensiones maliciosas que utilizan nombres, logos y código prácticamente idénticos a las versiones originales, pero incorporan funcionalidades ocultas para extraer credenciales y frases semilla directamente de los usuarios.
Estas extensiones se promocionan en la tienda oficial de Firefox con reseñas falsas de cinco estrellas que inducen a la confianza y engañan a los usuarios desprevenidos . Además, operan con discreción: capturan datos sensibles en segundo plano y los transmiten a servidores controlados por los atacantes, sin dejar rastro en la interfaz visible.
La mayoría de estas amenazas se originan en grupos de habla rusa, según señales en los metadatos del código y la infraestructura que utilizan. Aunque Mozilla ya ha eliminado muchas de estas extensiones utilizando su sistema de detección y revisión, decenas permanecen activas y representan un riesgo persistente.
Se recomienda a los usuarios evitar el uso de extensiones de criptomonedas en Firefox, y optar por las aplicaciones móviles oficiales o versiones web seguras. Además, es vital activar la autenticación de dos o tres factores y revisar periódicamente las extensiones instaladas.
