Por Canuto Los usuairos de decenas de aplicaciones de billeteras de criptomonedas populares como Metamask, Exodus, Phantom, Coinbase y otras, son objeto de amenaza en esta campaña que aprovecha extensiones maliciosas de Firefox.
***
- Más de 40 extensiones maliciosas de Firefox se hacen pasar por billeteras de criptomonedas legítimas.
- Las extensiones falsas roban credenciales de billeteras como MetaMask, Coinbase y Trust Wallet.
- La campaña, activa desde abril de 2025, sigue vigente y utiliza tácticas avanzadas de suplantación y reseñas falsas.
- Se aconseja instalar únicamente extensiones verificadas y monitorear continuamente actualizaciones.
Alerta entusiastas de criptomonedas que utilizan Firefox: Un nuevo informe de Koi Security ha destapado una de las campañas de ciberataques más alarmantes contra usuarios de activos digitales, dirigida a través de extensiones falsas en Firefox.
Según los analistas de Koi Security, al menos 40 extensiones maliciosas han sido detectadas suplantando a billeteras muy utilizadas como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Ethereum Wallet y otras.
Las extensiones se presentan como aplicaciones legítimas, copiando nombres, imágenes y funcionalidades de las versiones oficiales, e incluso incluyendo aparentes reseñas positivas de los usuarios. Su verdadero objetivo: robar silenciosamente las credenciales de billeteras de criptomonedas de los usuarios y enviarlas a servidores controlados por los atacantes.
La amenaza no es algo del pasado ya que la campaña sigue activa, con extensiones nuevas publicadas hasta la semana pasada, según el reporte. “Hasta ahora, hemos podido vincular más de 40 extensiones diferentes a esta campaña, que todavía está en curso y muy viva“, alertaron los investigadores en una publicación el miércoles.
Campaña masiva en Firefox para robar criptomonedas
La campaña, que ha estado activa desde al menos abril, se dedica a extraer las credenciales de billetera directamente de sitios web específicos y cargarlas en un servidor remoto controlado por el atacante, según el informe.
No conforme con eso, los actores maliciosos también transmiten la dirección IP externa de la víctima, probablemente con fines de seguimiento o segmentación, agrega la publicación.
Uno de los aspectos alarmantes es la confianza que han generado los ciberdelincuentes en torno a sus falsas extensiones explotado mecanismos comunes de legitimidad como la imagen de marca, nombres y logos idénticos a los verdaderos, pero, especialmente, la manipulación de la reputación mediante la creación masiva de valoraciones y reseñas falsas.
Varias de las extensiones maliciosas contaban con cientos de reseñas de cinco estrellas, un truco que, sumado al empleo de nombres y logotipos idénticos a los reales, incrementa la probabilidad de que internautas desprevenidos confíen y descarguen el complemento incorrecto.
Además, los actores habrían aprovechado el hecho de que muchas de las billeteras son de código abierto. Al clonar dicho código e insertar en él su propia lógica maliciosa, lograron crear extensiones casi idénticas a las auténticas, que incluso se comportaron como se esperaba pero que en secreto robaban datos confidenciales de los usuarios.
Señales apuntan a hackers de habla rusa
En cuanto a los responsables de la campaña, si bien su identificación plena no es una tarea fácil, las investigaciones de Koi Security han hallado múltiples indicios que sugieren la participación de un actor o grupo de habla rusa.
Entre las pistas encontradas, destacan comentarios en idioma ruso insertados en el código de las extensiones y metadatos en un archivo PDF recuperado desde uno de los servidores de mando y control empleados para coordinar la operación.
Alertas y recomendaciones de seguridad
Aprovechando la confianza en plataformas como la tienda de complementos de Firefox, la campaña ha evadido medidas de seguridad al replicar la experiencia del usuario y responder a actualizaciones de software legítimo, dificultando la detección inmediata.
La investigación de Koi Security incluyó una lista detallada de extensiones y dominios empleados para la campaña, figurando variantes de “bitget”, “coinbasewallet”, “eth-wallet”, “filfox-wallet”, “keplr-wallet”, “leap-wallet”, “metamask”, “mew-wallet-ethereum-defi-web3”, “official-metamask”, “okx-wallet-extension”, “phantom-wallet-extension” y “trust-wallet-mozilla-add”, entre muchos otros.
Ante la persistencia y sofisticación de la campaña, el equipo ha recomendado instalar extensiones solo de editores verificados, manteniendo una actitud crítica aún frente a las numerosas reseñas positivas, para minimizar el riesgo. También aconsejó tratar las extensiones como activos de software completos, utilizar listas de permisos y monitorear comportamientos o actualizaciones inesperadas.
La operación —hasta ahora— parece haber pasado pasado por alto los sistemas de monitoreo existentes, representando un golpe devastador a la confianza en el ecosistema de extensiones open source vinculado a criptomonedas. No se ha proporcionado información sobre el alcance de la campaña en términos del recuento de víctimas o la cantidad de criptomonedas robadas.
Artículo redactado con ayuda de IA, por Hannah Estefanía Pérez / DiarioBitcoin
Imagen generada con IA, bajo licencia de uso libre
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Análisis de mercado
Bitcoin reclama los USD $110.000 en medio de vientos macro positivos
Bitcoin
BlackRock recibe más ingresos por su ETF Bitcoin que por su fondo S&P 500
Bitcoin
Bitcoin salta sobre USD $108.000 mientras caen los empleos del sector privado en EEUU
Bitcoin