Une campagne malveillante baptisée « GreedyBear » s’est faufilée dans le magasin de modules complémentaires de Mozilla, ciblant les utilisateurs de Firefox avec 150 extensions malveillantes et volant environ 1 000 000 de dollars à des victimes sans méfiance.
La campagne, découverte et documentée par Koi Security, usurpe l’identité d’extensions de portefeuille de crypto-monnaie de plates-formes bien connues telles que MetaMask, TronLink et Rabby.
Ces extensions sont téléchargées sous une forme bénigne au départ, pour être acceptées par Firefox, et accumulent de fausses critiques positives.
Dans une phase ultérieure, les éditeurs suppriment la marque d’origine et la remplacent par de nouveaux noms et logos tout en injectant du code malveillant pour voler les informations d’identification et les adresses IP du portefeuille des utilisateurs.
Le code malveillant agit comme un enregistreur de frappe, capturant les entrées des champs de formulaire ou des fenêtres contextuelles affichées, qui sont ensuite envoyées au serveur de l’attaquant.
« Les extensions militarisées capturent les informations d’identification du portefeuille directement à partir des champs de saisie de l’utilisateur dans la propre interface contextuelle de l’extension, et les exfiltrent vers un serveur distant contrôlé par le groupe », explique Tuval Admoni de Koi Security.
« Lors de l’initialisation, ils transmettent également l’adresse IP externe de la victime, probablement à des fins de suivi ou de ciblage. »
L’opération de crypto-drainage est complétée par des dizaines de sites Web de logiciels piratés russophones qui facilitent la distribution de 500 exécutables de logiciels malveillants distincts, ainsi qu’un réseau de sites Web se faisant passer pour Trezor, Jupiter Wallet et de faux services de réparation de portefeuilles.
Dans les cas de logiciels malveillants, les charges utiles incluent des chevaux de Troie génériques, des voleurs d’informations (LummaStealer) ou même des ransomwares.
Tous ces sites sont liés à la même adresse IP, 185.208.156.66, qui sert de hub de commande et de contrôle (C2) pour l’opération GreedyBear
Koi Security a signalé ses découvertes à Mozilla et les extensions incriminées ont été supprimées du magasin de modules complémentaires de Firefox.
Cependant, sa grande échelle et sa facilité apparente d’exécution sont une démonstration de la façon dont l’IA peut aider les cybercriminels à créer des stratagèmes à grande échelle et à se remettre rapidement des suppressions totales.
« Notre analyse du code de la campagne montre des signes évidents d’artefacts générés par l’IA », explique le rapport.
« Il est ainsi plus rapide et plus facile que jamais pour les attaquants de faire évoluer les opérations, de diversifier les charges utiles et d’échapper à la détection. »
La précédente attaque à grande échelle sur le Firefox Store a eu lieu le mois dernier, impliquant plus de 40 fausses extensions prétendant être des portefeuilles de Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr et MyMonero.
Il est à noter que ces extensions frauduleuses se retrouvent toujours dans le Firefox Store malgré le déploiement par Mozilla d’un système en juin 2025 pour détecter les modules complémentaires de crypto-draineur.
Koi Security rapporte également avoir vu des signes indiquant que les opérateurs de GreedyBear explorent l’expansion du Chrome Web Store, car ils ont déjà repéré une extension Chrome malveillante nommée « Portefeuille Filecoin » qui utilise la même logique de vol de données et communique avec la même adresse IP.
Pour minimiser les risques liés à ces menaces, lisez toujours plusieurs avis d’utilisateurs et vérifiez les détails de l’extension et de l’éditeur avant d’installer des modules complémentaires sur votre navigateur.
Vous pouvez trouver les extensions de portefeuille officielles sur les sites Web des projets eux-mêmes, soit hébergées directement, soit liées aux modules complémentaires légitimes sur les boutiques en ligne.
Breachtrace a contacté Mozilla et Google à propos de cette campagne et de leurs efforts pour protéger les utilisateurs, et mettra à jour cet article avec toutes les réponses.