Koi Security lancia l’allarme segnalando 40 false estensioni wallet su Firefox

Autore

Aniello Raul Barone

Autore

Aniello Raul Barone

Profilo dell'autore

condividi

Copiato

Divulgazione Annunci

Divulgazione Annunci

Crediamo nella completa trasparenza con i nostri lettori. Alcuni dei nostri contenuti includono link di affiliazione e potremmo guadagnare una commissione attraverso queste partnership. Tuttavia, questa potenziale compensazione non influenza mai le nostre analisi, opinioni o pareri. I nostri contenuti editoriali vengono creati indipendentemente dalle nostre partnership di marketing e le nostre valutazioni si basano esclusivamente sui nostri criteri di valutazione stabiliti. Per saperne di più clicca qui.

Ultimo aggiornamento: 

Luglio 4, 2025

Perché puoi fidarti di noi

Da oltre dieci anni il team di Cryptonews è al lavoro quotidiano per fornire ai propri lettori approfondimenti e guide su tutte le tematiche del settore delle criptovalute. I nostri esperti ed analisti hanno una vasta esperienza nell’analisi di mercato e sulle tecnologie blockchain. Ci impegniamo a mantenere elevati i nostri standard editoriali, concentrandoci sull'accuratezza dei fatti e su un reporting equilibrato e terzo in tutte le aree, dalle criptovalute alla blockchain, ai nuovi progetti e sviluppi tecnologici. La nostra presenza costante nel settore riflette il nostro impegno nel fornire informazioni rilevanti in un mondo, quello delle risorse digitali, che è sempre più in evoluzione. Scopri di più su Cryptonews.

Disclaimer

Siamo fautori di un rapporto basato sulla più totale trasparenza con i nostri lettori. Ed è per questo che teniamo a sottolineare che alcuni dei nostri contenuti potrebbero includere link di affiliazione, da cui poter guadagnare una commissione attraverso queste partnership.

Di recente, La società di sicurezza informatica Koi Security ha scoperto sull’App Store di Firefox una massiccia campagna dannosa che coinvolge più di 40 false estensioni, progettate apposta per rubare le credenziali dei wallet crypto di utenti ignari.

Le estensioni dannose si presentano come dei legittimi strumenti add-on per i wallet di criptovalute appartenenti a piattaforme ben note, tra cui Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet e Filfox.

Secondo Koi Security, la campagna è attiva almeno dal mese di aprile 2025, con nuove estensioni dannose caricate sullo store di componenti aggiuntivi (add-on) di Firefox anche solo la scorsa settimana.

Le estensioni estraggono le credenziali dei wallet direttamente dai siti web presi di mira e le trasmettono a server remoti controllati dagli hacker.

In particolare, OKX aveva già avvertito gli utenti a gennaio in merito a false estensioni Firefox per OKX Wallet, confermando che l’exchange non aveva rilasciato alcun plugin per Firefox.

L’exchange ha presentato reclamo ai responsabili di Firefox, richiedendo la rimozione delle estensioni browser fraudolente e consigliando agli utenti di trasferire immediatamente i propri asset dal wallet se avevano installato plugin dannosi.

Sofisticate tattiche di trust building ingannano migliaia di utenti

La campagna dannosa ha utilizzato sofisticati meccanismi di creazione della fiducia per aumentare il numero di installazioni ed evitare il rilevamento immediato.

Molte estensioni presentavano centinaia di false recensioni a 5 stelle che superavano di gran lunga la loro base di utenti effettiva, creando l’apparenza di un’adozione diffusa e di feedback positivi.

Gli autori delle minacce hanno imitato con cura il marchio degli strumenti legittimi per i wallet, utilizzando nomi e loghi identici a quelli dei servizi reali che hanno impersonato.

Questa somiglianza visiva ha aumentato la probabilità di installazioni accidentali da parte degli utenti alla ricerca di estensioni ufficiali per i loro wallet di criptovalute.

Gli aggressori hanno quindi sfruttato la natura open source delle legittime estensioni per i wallet clonando codici autentici e inserendo logiche dannose.

Questo approccio ha permesso loro di mantenere l’esperienza utente prevista, mentre in background sottraevano segretamente dati sensibili dai wallet.

Questa strategia ha ridotto i tempi di sviluppo, aumentando al contempo la probabilità che gli strumenti di sicurezza non rilevassero le modifiche dannose apportate al codice altrimenti legittimo.

Alcune estensioni dannose sono rimaste inosservate per lunghi periodi grazie alle loro somiglianze funzionali con i legittimi strumenti per i wallet.

Nel frattempo che gli utenti utilizzavano le funzionalità standard del wallet, le loro credenziali venivano trasmesse a un’infrastruttura controllata dagli aggressori.

Gli attacchi hardware e software si espandono oltre le estensioni del browser

La campagna di false estensioni per Firefox rappresenta un vettore in un ecosistema di metodi di furto di criptovalute in piena espansione, dove vengono prese di mira tanto le misure di sicurezza software quanto quelle hardware.

Di recente, un investitore cinese in criptovalute ha perso quasi 7 milioni di dollari dopo aver acquistato un cold wallet falso tramite Douyin, la piattaforma cinese di TikTok.

La sofisticata trappola hardware ha compromesso la generazione della chiave privata del wallet a livello fondamentale.

Quando la vittima ha inizializzato il dispositivo, questo ha generato chiavi già note agli aggressori, creando un falso senso di sicurezza e fornendo ai criminali l’accesso completo ai fondi.

Allo stesso modo, la società di sicurezza informatica Moonlock ha recentemente messo in guardia dalle applicazioni Ledger Live contraffatte, che prendono di mira gli utenti macOS attraverso il malware Atomic macOS Stealer.

Il malware, incorporato in almeno 2.800 siti web compromessi, sostituisce le applicazioni Ledger Live autentiche con versioni contraffatte che raccolgono le frasi seed attraverso pop-up convincenti.

Gli aggressori stanno inoltre espandendo il loro raggio d’azione oltre l’hardware e il software. Sono emersi attacchi di phishing fisico attraverso i sistemi di posta tradizionale, con truffatori che si spacciano per Ledger e inviano lettere false tramite il servizio postale statunitense USPS.

Le lettere esortano gli utenti a “convalidare” i loro portafogli tramite codici QR che rimandano a siti di phishing progettati per rubare le chiavi private.

Questa ultima scoperta si aggiunge alla crescente minaccia rappresentata dagli aggressori sofisticati per il settore delle criptovalute.

Secondo il rapporto sulla sicurezza di CertiK, solo nella prima metà del 2025 gli investitori in criptovalute hanno perso più di 2,2 miliardi di dollari a causa di hacker, truffe e violazioni della sicurezza.

Prese da sole, le violazioni relative ai wallet ammontano a 1,7 miliardi di dollari in soli 34 attacchi, mentre il phishing è al secondo posto con oltre 410 milioni di dollari rubati in 132 incidenti.

Ethereum è rimasta la blockchain più presa di mira, con 175 eventi di sicurezza e oltre 1,6 miliardi di dollari di perdite.

Il più grande attacco hacker si è verificato a febbraio, quando l’exchange di criptovalute Bybit ha subito una violazione che ha portato al furto di oltre 1,5 miliardi di dollari in ETH e MegaETH liquidati.

Le vulnerabilità del codice hanno causato danni per 229 milioni di dollari solo nel mese di maggio 2025, rappresentando un enorme aumento rispetto ai soli 5 milioni di dollari di aprile.

Gli “attacchi con chiave inglese” fisici contro i possessori di criptovalute sono aumentati a livello globale, con almeno 32 incidenti segnalati nel 2025, mettendo l’anno sulla buona strada per superare il record di 36 attacchi del 2021.