Los investigadores de ciberseguridad de Koi Security han identificado una sofisticada campaña de ciberdelincuencia que ha comprometido el ecosistema de extensiones de Firefox. Más de 40 extensiones maliciosas han sido distribuidas a través del repositorio oficial de Mozilla, simulando ser carteras de criptomonedas legítimas con el objetivo de robar activos digitales de usuarios desprevenidos.
Suplantación de identidad de principales plataformas cripto
La estrategia implementada por los ciberdelincuentes demuestra un nivel avanzado de ingeniería social y desarrollo técnico. Los atacantes han creado versiones fraudulentas de extensiones pertenecientes a las plataformas más reconocidas del ecosistema cripto, incluyendo Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr y MyMonero.
La metodología empleada se basa en la utilización del código fuente abierto de las carteras originales como fundamento para desarrollar clones maliciosos. Esta técnica permite a los atacantes crear extensiones prácticamente idénticas a las versiones oficiales, incorporando funcionalidades ocultas diseñadas para la extracción no autorizada de información sensible.
Análisis técnico del vector de ataque
El análisis forense del código malicioso revela una arquitectura técnica altamente sofisticada. Las extensiones comprometidas implementan controladores de eventos específicos para «input» y «click» que monitorizan continuamente la actividad del usuario en busca de credenciales criptográficas.
El algoritmo de detección se activa cuando el sistema identifica cadenas de texto superiores a 30 caracteres, un patrón característico de claves privadas y frases semilla utilizadas en carteras digitales. Una vez detectados estos elementos, el malware ejecuta la transmisión inmediata de la información hacia servidores controlados por los operadores de la campaña.
Para evadir la detección por parte de los usuarios, los desarrolladores han implementado técnicas avanzadas de ocultación. Todos los mensajes de error y alertas del sistema son invisibilizados mediante la configuración de transparencia total (opacity: 0), eliminando cualquier indicador visual de actividad sospechosa.
Duración y alcance de la operación maliciosa
La investigación establece que esta campaña de distribución de malware ha mantenido actividad sostenida desde abril de 2024, con evidencia de actualizaciones constantes al arsenal de extensiones fraudulentas. Los ejemplares más recientes fueron incorporados al repositorio de Firefox durante la semana pasada, confirmando la naturaleza persistente de la amenaza.
Los atacantes han empleado múltiples técnicas de manipulación psicológica para incrementar la credibilidad de sus extensiones maliciosas. Además de la apropiación de elementos gráficos y de marca oficiales, numerosas extensiones presentan cientos de reseñas positivas artificiales, frecuentemente superando el número real de instalaciones registradas.
Respuesta institucional y medidas preventivas
Tras recibir la notificación de los especialistas de Koi Security, Mozilla ha implementado protocolos de respuesta inmediata para neutralizar la amenaza. Los representantes oficiales de la organización han confirmado el conocimiento del incidente y han iniciado el proceso de eliminación sistemática de las extensiones comprometidas.
Paralelamente, Mozilla ha desplegado un sistema innovador de detección temprana específicamente diseñado para identificar complementos relacionados con fraudes criptográficos. Esta tecnología genera perfiles de riesgo individualizados para cada extensión de cartera digital y activa alertas automáticas cuando los indicadores de amenaza superan los umbrales establecidos.
Este incidente subraya la importancia crítica de implementar protocolos rigurosos de verificación antes de instalar cualquier extensión del navegador, especialmente aquellas que gestionan activos digitales. Los usuarios deben priorizar la descarga exclusiva desde fuentes oficiales, realizar análisis detallados de reseñas y confirmar la autenticidad del desarrollador antes de proceder con la instalación de cualquier complemento relacionado con criptomonedas.