Firefox-udvidelser stjæler kryptovaluta

Sikkerhedsfirmaet Koi Research har identificeret mere end 40 skadelige browser-udvidelser til Mozilla Firefox, der er designet til at stjæle brugeres kryptovaluta og følsomme oplysninger. Fundet er blevet beskrevet i en artikel i The Hacker News.

Kampagnen har angiveligt været aktiv siden april 2025 og er rettet mod brugere af kryptowallets som MetaMask, Coinbase, Phantom, Trust Wallet, Exodus, Binance og flere.

En browser-udvidelse (extension) er et lille program, der installeres i browseren for at tilføje funktionalitet – for eksempel annonceblokering eller integration med onlineværktøjer. Mange udvidelser kræver omfattende tilladelser og kan læse eller ændre indholdet på de websites, du besøger. Det gør dem til et attraktivt mål for angribere.

Legitim open source-kode kopieret

Ifølge rapporten fra Koi Research har angribere kopieret legitim open source-kode fra populære wallet-udvidelser, og derefter tilføjet ondsindet funktionalitet, som bl.a.:

• opsnapper og stjæler wallet-nøgler og seed phrases,
• sender følsomme oplysninger til eksterne servere,
• registrerer IP-adresser og netværksdata,
• skjuler sig bag velkendte navne, logoer og falske anmeldelser.

Udvidelserne var tilgængelige via Firefox Add-ons Store, og nogle blev uploadet så sent som i juni 2025. Mozilla har efterfølgende fjernet de fleste af dem og har meldt ud, at der er iværksat nye sikkerhedsforanstaltninger i deres godkendelsesproces.

Kilden til kampagnen vurderes at være russisktalende aktører, og angrebene vurderes at være fortsat aktive.

Selvom Mozilla har fjernet de identificerede udvidelser, kan lignende angreb dukke op igen. Brugere opfordres derfor til at være særligt opmærksomme, især når det gælder udvidelser, der håndterer kryptovaluta eller følsomme konti.