- Pesquisadores da Koi Security identificaram mais de 40 extensões fraudulentas do navegador Firefox
- Especificamente, as extensões falsas se passavam por ferramentas legítimas de grandes serviços de criptomoedas, como Coinbase e MetaMask
- A campanha, nomeada FoxyWallet, continua ativa, apesar das tentativas de remoção
Pesquisadores da Koi Security revelaram uma campanha alarmante que comprometeu a segurança de usuários de criptomoedas. Mais de 40 extensões maliciosas para Firefox, identificadas desde abril de 2025, imitam carteiras digitais populares como MetaMask, Trust Wallet e Coinbase. O objetivo é enganar usuários e roubar suas credenciais privadas, como frases-semente e chaves de recuperação. A campanha, nomeada FoxyWallet, continua ativa, apesar das tentativas de remoção. A descoberta reacende alertas sobre segurança digital no ecossistema cripto.
Extensões clonadas facilitam roubo de frases-semente
As extensões identificadas replicam com precisão visual carteiras conhecidas. Os desenvolvedores mal-intencionados copiaram o código-fonte original e adicionaram scripts que capturam dados confidenciais. Quando o usuário digita informações com mais de 30 caracteres, o sistema presume que seja uma frase-semente e envia automaticamente os dados para servidores dos invasores.
🚨SlowMist TI Alert🚨
A massive malicious campaign involving dozens of fake #Firefox extensions designed to steal cryptocurrency wallet credentials is underway. Over 40 fake extensions impersonating trusted #wallets like MetaMask, Coinbase Wallet, Trust Wallet, Phantom, OKX,… pic.twitter.com/IIfE5ifxJi
— SlowMist (@SlowMist_Team) July 3, 2025
Além disso, os golpistas usam nomes semelhantes aos oficiais e inserem centenas de avaliações falsas de cinco estrelas. Isso aumenta a credibilidade das extensões na loja do Firefox. Como resultado, usuários desavisados são facilmente enganados ao instalá-las.
A investigação também revelou que o grupo responsável parece ter origem em uma comunidade de fala russa. Fragmentos de código e anotações em russo reforçam essa hipótese. Embora os ataques comecem com phishing visual, o verdadeiro perigo surge quando o usuário confia suas credenciais ao plugin malicioso.
Mozilla Firefox reage mas ameaça persiste
Mesmo após alertas, a Mozilla removeu várias extensões comprometidas. Contudo, outras continuam ativas e são relançadas sob novos nomes com frequência. Isso demonstra falhas no sistema de moderação automatizada da loja de extensões do Firefox.
Diante disso, especialistas recomendam instalar extensões apenas através dos sites oficiais das carteiras. Além disso, verificar a legitimidade de desenvolvedores, desconfiar de muitas avaliações idênticas e monitorar alterações no comportamento do plugin são medidas cruciais.
Por fim, embora a Mozilla tenha implementado um novo sistema de detecção para drenar extensões cripto, ele ainda apresenta limitações. Portanto, os próprios usuários devem adotar uma postura proativa em relação à segurança digital.
