Firefox sous assaut – 150 extensions piègent les cryptonautes
Un million de dollars ! C’est ce que les pirates de l’opération GreedyBear ont déjà siphonné dans des plugins Firefox de portefeuilles crypto. Et pour cela, ils ont utilisé 150 extensions malveillantes, créant ainsi la plus grosse vague d’attaque jamais vue sur le store d’add-ons de Mozilla. C’est Koi Security qui vient de révéler l’ampleur du carnage, et franchement, c’est du jamais vu.
Vous installez tranquillement ce qui ressemble à MetaMask sur Firefox. L’icône est identique, le nom est presque pareil, et le truc a même 500 reviews et 5 étoiles. Sauf que voilà, l’extension n’a que 200 installations actives. Les calculs sont pas bons, Kévin !!
Mais bon, qui vérifie ce genre de détails quand on est pressé d’acheter du Dogecoin parce que tonton Elon a dit que c’était trop bien ?
Les pirates ont commencé leur petit manège en avril de cette année, et il y aurait encore une 40aine d’extensions frauduleuses qui circulent. Ils clonent le code open source de vrais wallets, injectent leur saloperie de keylogger dedans, et hop, c’est parti pour la récolte. MetaMask, TronLink, Rabby, Trust Wallet, Coinbase, Phantom, Exodus… Toutes les grosses pointures y sont passées.
Pour bien comprendre comment ça a pu passer dans la toile de la modération du store, il faut savoir que ces extensions commencent leur vie innocemment. Les pirates uploadent d’abord des versions totalement clean, attendent qu’elles passent la validation, puis balancent une mise à jour avec le code malveillant. C’est ce qu’on appelle du bait and switch de compétition. Et une fois installées, ces petites merveilles enregistrent tout ce que vous tapez sur les sites de crypto et envoient vos identifiants sur des serveurs louches.
Yuval Ronen de Koi Security explique que cette attaque est peu coûteuse à déployer, maintient une apparence crédible et réduit le risque de détection immédiate.
Les chercheurs soupçonnent même que de l’IA aide les attaquants à créer des schémas à grande échelle et à se remettre en selle rapidement après des suppressions totales. En gros, quand Mozilla supprime leurs extensions, ils en recréent 10 nouvelles en deux minutes grâce à ChatGPT, Claude ou leurs copains.
Les extensions utilisent des noms comme “trust-extension-wallet”, “okx-wallet-extension1” ou mon préféré à moi : “official-metamask-wallet”. Celui là c’est l’officiel non-officiel, un classique ! Ces extensions gonflent ensuite artificiellement leur popularité avec des centaines de fausses reviews qui dépassent largement le nombre réel d’installations.
Mozilla a évidemment réagi en supprimant une bonne partie des extensions identifiées, et développe depuis peu un nouveau système de détection automatique. L’équipe Add-ons Operations de Mozilla dit traquer ce genre de menaces depuis des années, mais visiblement, les pirates ont toujours un coup d’avance.
En plus, le bilan est assez salé avec 1,7 milliard de dollars perdus dans ces wallets rien qu’au premier semestre. Et ça, c’est juste sur 34 pauvres attaques documentées. GreedyBear et ses 150 extensions contribuent donc généreusement à ces statistiques déprimantes.
Pour éviter de vous faire plumer, mon conseil est simple mais vital : téléchargez vos extensions de wallet UNIQUEMENT depuis les sites officiels des projets. Pas depuis le store Firefox, pas depuis un lien dans un email, pas depuis une pub sur un site de streaming chelou. Direct depuis le site officiel et c’est tout.
Et vérifiez les reviews. Si une extension a 500 reviews, 5 étoiles mais seulement 100 installations, fuyez. Si le nom contient “official” mais que ce n’est pas le compte vérifié du projet, fuyez. Si l’extension vous demande votre seed phrase juste après l’installation, fuyez (et changez tous vos mots de passe tant qu’à faire).
J’adore les extensions mais le problème c’est qu’elles ont accès à tout ce que vous faites en ligne. Elles peuvent voir vos mots de passe, lire vos emails, accéder à vos comptes bancaires. Et surtout elles peuvent changer de comportement après installation… sans que vous le sachiez.
Mozilla promet de renforcer ses contrôles, mais en attendant, la vigilance reste votre meilleure défense, parce qu’avec 1 million de dollars déjà volés d’après Koi Security, les pirates de GreedyBear ne vont pas s’arrêter de sitôt. Surtout qu’avec l’IA de leur côté, ils peuvent créer des clones d’extensions plus vite que Mozilla ne peut les supprimer.
Source : korben.info