Plus de 40 extensions Firefox malveillantes dérobent des crypto-portefeuilles
Author
NEXT2i
Date Published
.png&w=3840&q=100)
Des chercheurs de Koi Security ont découvert une campagne de grande ampleur dans le Firefox Add‑ons Store : plus de 40 extensions usurpant des portefeuilles connus (MetaMask, Coinbase, Trust Wallet, Phantom, Exodus, OKX…) ont été repérées. Actives depuis au moins avril 2025, certaines ont été mises en ligne aussi récemment que la semaine dernière [arstechnica.com+12thehackernews.com+12bleepingcomputer.com+12](https://thehackernews.com/2025/07/over-40-malicious-firefox-extensions.html?utm_source=chatgpt.com).
Méthodes d’usurpation et collecte de données
- Les extensions se présentent sous les noms et logos officiels de portefeuilles populaires pour masquer leur nature malveillante [thehackernews.com](https://thehackernews.com/2025/07/over-40-malicious-firefox-extensions.html?utm_source=chatgpt.com).
- La majorité sont des clones de solutions open-source : le code légitime est reproduit, puis une logique malveillante est insérée pour extraire les clés privées et phrases mnémoniques, et les transmettre à un serveur distant [bleepingcomputer.com](https://www.bleepingcomputer.com/news/security/dozens-of-fake-wallet-add-ons-flood-firefox-store-to-drain-crypto/?utm_source=chatgpt.com).
- Certains scripts interceptent les champs de saisie dès que l’utilisateur entre plus de 30 caractères—typiquement la longueur d’une vraie clé ou phrase de récupération .
- Les extensions affichent de faux avis 5 étoiles en grand nombre pour tromper l’utilisateur quant à leur popularité [thehackernews.com](https://thehackernews.com/2025/07/over-40-malicious-firefox-extensions.html?utm_source=chatgpt.com).
Profil de l’attaquant
- Les analyses du code source et des métadonnées révèlent des indices d’un groupe parlant russe.
Réponse de Mozilla
- La quasi-totalité de ces extensions (sauf MyMonero Wallet) ont été retirées du store [cryptonews.com+2thehackernews.com+2bleepingcomputer.com+2](https://thehackernews.com/2025/07/over-40-malicious-firefox-extensions.html?utm_source=chatgpt.com).
- Mozilla a également indiqué avoir mis en place un système de détection précoce pour bloquer les extensions de portefeuille crypto malicieuses dès qu’elles sont identifiées [thehackernews.com](https://thehackernews.com/2025/07/over-40-malicious-firefox-extensions.html?utm_source=chatgpt.com).
Recommandations pour les utilisateurs
1. N’installez que depuis des auteurs vérifiés, et évitez les versions VSIX ou sources non officielles.
2. Vérifiez les statistiques de téléchargement et les avis : un écart anormal entre nombre d’installations et reviews est suspect.
3. Si vous avez déjà installé une extension de portefeuille, supprimez-la immédiatement et surveillez vos comptes pour toute activité inhabituelle.
4. Privilégiez les solutions open source et transparentes, comme uBlock Origin, pour limiter les risques d’expositions [en.wikipedia.org](https://en.wikipedia.org/wiki/UBlock_Origin?utm_source=chatgpt.com).
Contexte général
Cette vague malveillante s’inscrit dans une montée en puissance des menaces sur les extensions navigateur. Firefox, avec ses API souples, facilite l’injection de comportements malveillants, comme le démontre une étude récente signalant qu’un tiers des extensions malveillantes détectées sur Chrome étaient encore actives malgré les contrôles réguliers .
À retenir
- Impact : des crypto-actifs volés directement via le navigateur, irréversibles et invisibles à l’utilisateur.
- Souplesse exploitée : les API Firefox permettent cette manipulation, car elles sont plus permissives que celles de Chrome .
- Nécessité : vigilance accrue lors de l’ajout d’extensions, contrôles réguliers, et utilisation de sources fiables.
