Elles reprennent le nom, le logo, parfois même le code source des crypto wallets les plus connus. Plus de 40 extensions malveillantes ont été repérées dans le Firefox Add-ons Store, capables de rafler en silence vos phrases de récupération.

Ces 40 extensions Firefox usurpent l'identité des wallets les plus populaires pour siphonner vos cryptos. © Primakov / Shutterstock
Ces 40 extensions Firefox usurpent l'identité des wallets les plus populaires pour siphonner vos cryptos. © Primakov / Shutterstock
L'info en 3 points
  • Plus de 40 extensions malveillantes imitant des crypto wallets populaires ont été repérées sur le Firefox Add-ons Store.
  • Ces extensions volent les seed phrases des utilisateurs et les envoient à un serveur distant pour exploitation.
  • Mozilla a renforcé ses outils de détection, mais la vigilance des utilisateurs reste indispensable pour éviter les pièges.

Une nouvelle campagne de grande ampleur cible les utilisateurs et utilisatrices de portefeuilles crypto via des extensions web malveillantes diffusées sur le Firefox Add-ons Store. Au total, plus de 40 faux modules imitant des services très populaires comme MetaMask, Coinbase Wallet, Phantom ou Exodus ont été identifiés, tous conçus pour dérober silencieusement les seed phrases des victimes et les transmettre à un serveur distant. Malgré les alertes, plusieurs d’entre elles sont toujours actives et disponibles sur la plateforme officielle, preuve que le système de validation de Mozilla peine à endiguer la menace, en dépit des dispositifs de détection précoce récemment mis en place par la fondation.

Une campagne structurée, active depuis plusieurs mois

D’après les équipes de Koi Security, la campagne serait active depuis au moins avril 2025. Si les noms, logos ou descriptions des extensions varient légèrement, les chercheurs ont pu établir un lien technique entre plus de 40 d’entre elles, en s’appuyant sur des éléments communs dans l’infrastructure utilisée, les méthodes d’exfiltration ou certaines portions de code partagées. Toutes ciblent des portefeuilles largement adoptés dans l’écosystème crypto, parmi lesquels MetaMask, Trust Wallet, Phantom, Exodus, Coinbase Wallet, OKX, Keplr, MyMonero, Filfox ou encore Bitget.

Une fois installées, ces extensions malveillantes surveillent les champs de saisie sur les sites associés aux services ciblés. Lorsqu’une seed phrase est détectée – typiquement lors d’une tentative de restauration de portefeuille – les données sont interceptées et transmises à un serveur distant. L’adresse IP de la victime est également collectée à l’initialisation de l’extension, probablement à des fins de suivi ou pour filtrer les doublons.

Évidemment, pour favoriser leur diffusion, les auteurs de la campagne ont misé sur l’illusion de la légitimité. Chaque extension reprend le nom exact du wallet ciblé, son logo, et dans certains cas, le code source public du module officiel. Ce code, en grande partie conservé tel quel, est ensuite modifié à la marge pour y intégrer une routine d’exfiltration, de manière à ne pas altérer les fonctionnalités principales ni perturber l’expérience utilisateur attendue.

En parallèle, les notes et commentaires sont massivement manipulés. Plusieurs modules affichent des centaines d’avis 5 étoiles générés artificiellement par des comptes fictifs, ce qui leur confère une visibilité avantageuse et une crédibilité apparente. Sur une plateforme où la note globale et le nombre d’installations servent souvent de signal de confiance, cette technique suffit à convaincre une partie des internautes d’installer le plugin sans se méfier.

Les extensions frauduleuses usurpent le nom du wallet, son logo, mais aussi l'identité de l'éditeur, et gonflent artificiellement les avis pour endormir la vigilance des internautes. © Koi Security
Les extensions frauduleuses usurpent le nom du wallet, son logo, mais aussi l'identité de l'éditeur, et gonflent artificiellement les avis pour endormir la vigilance des internautes. © Koi Security

Des mesures de détection intégrées qui ne dispensent pas de rester attentif

Consciente de la multiplication des campagnes frauduleuses impliquant des wallets crypto, Mozilla a annoncé début juin la mise en place d’un système de détection préventive destiné à renforcer la détection des extensions vérolées en amont de leur publication sur son store. Le processus combine une analyse automatisée à une relecture humaine ciblée pour évaluer le niveau de risque associé à chaque module avant sa mise en ligne. En cas de doute, l’extension est bloquée avant même d’apparaître sur le catalogue public.

Ce dispositif vise à endiguer l’essor des modules malveillants dès leur soumission, en repérant plus tôt les tentatives d’usurpation. Mais l’opération révélée par Koi Security montre que certaines campagnes continuent de passer entre les mailles du filet, y compris après la mise en œuvre de ces contrôles. L’écart entre les intentions affichées et les résultats observés rappelle qu’en matière d’extensions, la vigilance reste en grande partie à la charge des utilisateurs et utilisatrices.

Interrogée par Bleeping Computer, la fondation Mozilla a confirmé être consciente de ces abus visant l’écosystème des add-ons Firefox. Elle assure avoir renforcé ses outils de détection et indique que de nombreuses extensions mentionnées dans le rapport avaient déjà été supprimées avant sa publication. L’examen des modules encore actifs se poursuit.

Par conséquent, la prudence reste essentielle, y compris sur les plateformes officielles. Installer une extension de navigateur ne devrait jamais être considéré comme un geste anodin, surtout lorsqu’il est question de portefeuilles crypto. Il est donc recommandé de passer exclusivement par les sources officielles (sites web ou applications), de vérifier systématiquement l’identité de l’éditeur, et d’éviter les modules trop récents ou trop peu documentés, quelle que soit leur note apparente.

Sources : Koi Security, Bleeping Computer

À découvrir
Meilleur crypto wallet, le comparatif des portefeuilles en 2025

02 juillet 2025 à 14h06

Comparatifs services