Firefox sous assaut : 150 extensions piègent les cryptonautes
-
Un million de dollars ! C’est ce que les pirates de l’opération GreedyBear ont déjà siphonné dans des plugins Firefox de portefeuilles crypto. Et pour cela, ils ont utilisé 150 extensions malveillantes, créant ainsi la plus grosse vague d’attaque jamais vue sur le store d’add-ons de Mozilla. C’est Koi Security qui vient de révéler l’ampleur du carnage, et franchement, c’est du jamais vu.
Vous installez tranquillement ce qui ressemble à MetaMask sur Firefox. L’icône est identique, le nom est presque pareil, et le truc a même 500 reviews et 5 étoiles. Sauf que voilà, l’extension n’a que 200 installations actives. Les calculs sont pas bons, Kévin !!
Mais bon, qui vérifie ce genre de détails quand on est pressé d’acheter du Dogecoin parce que tonton Elon a dit que c’était trop bien ?
Les pirates ont commencé leur petit manège en avril de cette année, et il y aurait encore une 40aine d’extensions frauduleuses qui circulent. Ils clonent le code open source de vrais wallets, injectent leur saloperie de keylogger dedans, et hop, c’est parti pour la récolte. MetaMask, TronLink, Rabby, Trust Wallet, Coinbase, Phantom, Exodus… Toutes les grosses pointures y sont passées.
Pour bien comprendre comment ça a pu passer dans la toile de la modération du store, il faut savoir que ces extensions commencent leur vie innocemment. Les pirates uploadent d’abord des versions totalement clean, attendent qu’elles passent la validation, puis balancent une mise à jour avec le code malveillant. C’est ce qu’on appelle du bait and switch de compétition. Et une fois installées, ces petites merveilles enregistrent tout ce que vous tapez sur les sites de crypto et envoient vos identifiants sur des serveurs louches.
Yuval Ronen de Koi Security explique que cette attaque est peu coûteuse à déployer, maintient une apparence crédible et réduit le risque de détection immédiate.
Les chercheurs soupçonnent même que de l’IA aide les attaquants à créer des schémas à grande échelle et à se remettre en selle rapidement après des suppressions totales. En gros, quand Mozilla supprime leurs extensions, ils en recréent 10 nouvelles en deux minutes grâce à ChatGPT, Claude ou leurs copains.
Les extensions utilisent des noms comme “trust-extension-wallet”, “okx-wallet-extension1” ou mon préféré à moi : “official-metamask-wallet”. Celui là c’est l’officiel non-officiel, un classique ! Ces extensions gonflent ensuite artificiellement leur popularité avec des centaines de fausses reviews qui dépassent largement le nombre réel d’installations.
Mozilla a évidemment réagi en supprimant une bonne partie des extensions identifiées, et développe depuis peu un nouveau système de détection automatique. L’équipe Add-ons Operations de Mozilla dit traquer ce genre de menaces depuis des années, mais visiblement, les pirates ont toujours un coup d’avance.
En plus, le bilan est assez salé avec 1,7 milliard de dollars perdus dans ces wallets rien qu’au premier semestre. Et ça, c’est juste sur 34 pauvres attaques documentées. GreedyBear et ses 150 extensions contribuent donc généreusement à ces statistiques déprimantes.
Pour éviter de vous faire plumer, mon conseil est simple mais vital : téléchargez vos extensions de wallet UNIQUEMENT depuis les sites officiels des projets. Pas depuis le store Firefox, pas depuis un lien dans un email, pas depuis une pub sur un site de streaming chelou. Direct depuis le site officiel et c’est tout.
Et vérifiez les reviews. Si une extension a 500 reviews, 5 étoiles mais seulement 100 installations, fuyez. Si le nom contient “official” mais que ce n’est pas le compte vérifié du projet, fuyez. Si l’extension vous demande votre seed phrase juste après l’installation, fuyez (et changez tous vos mots de passe tant qu’à faire).
J’adore les extensions mais le problème c’est qu’elles ont accès à tout ce que vous faites en ligne. Elles peuvent voir vos mots de passe, lire vos emails, accéder à vos comptes bancaires. Et surtout elles peuvent changer de comportement après installation… sans que vous le sachiez.
Mozilla promet de renforcer ses contrôles, mais en attendant, la vigilance reste votre meilleure défense, parce qu’avec 1 million de dollars déjà volés d’après Koi Security, les pirates de GreedyBear ne vont pas s’arrêter de sitôt. Surtout qu’avec l’IA de leur côté, ils peuvent créer des clones d’extensions plus vite que Mozilla ne peut les supprimer.
– Sources :
https://korben.info/firefox-sous-assaut-150-extensions-piegent.html
V:\> █░░ PR4IS3 TH3 C0D3 ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW…░░░▒▒▒▓▒▒▒░░░
░░░░░░▓░░░░░░
▒▒▒▒▓▓▓▓▓▒▒▒▒
░░░░░░▓░░░░░░ -
Drôle d’idée de confier son pognon à une extension, sauf si on gère 50 balles avec…
-
patricelg PW Addict DDL Rebelle Windowsien Ciné-Séries Club Membrea répondu à Violence dernière édition par patricelg
@Violence a dit dans Firefox sous assaut : 150 extensions piègent les cryptonautes :
les pirates ont toujours un coup d’avance
Et l’auront toujours. Pas de crypto donc suis tranquille.
@duJambon a dit dans Firefox sous assaut : 150 extensions piègent les cryptonautes :
Drôle d’idée de confier son pognon à une extension, sauf si on gère 50 balles avec…
Mais carrément
-
@duJambon a dit dans Firefox sous assaut : 150 extensions piègent les cryptonautes :
Drôle d’idée de confier son pognon à une extension, sauf si on gère 50 balles avec…
Tu dis cela surement parce que tu ne gère pas de crypto.
L’article est plutôt informatif et sur le fait que le store de Mozilla se fait plomber de fausses extensions connues donc si tu est quelqu’un de rigoureux, tu n’auras aucun soucis. Je dirais que si tu ne l’est pas, mieux vaut ne pas faire de la crypto.
Ce n’est pas une question de confier volontairement son argent à une extension, mais plutôt que certaines extensions piégées peuvent le voler ou intercepter tes infos sans que tu le saches.
C’est un peu comme dire “je ne confie pas mon portefeuille à un inconnu” à propos d’un article sur les pickpockets : justement, le problème c’est que tu ne le leur confies pas… mais ils se servent quand même. -
C’est clair, s’il est obligatoire de passer par une extension, alors pas de cryptomonnaie pour bibi, d’autant plus que l’argent volatile, pour moi, c’est pire que de la spéculation.
(je dors sur mes lingots d’or).Je pouvais comprendre que pour certaines transactions… mais comme on ne bénéficie plus tellement de l’anonymat… très peu pour moi.
-
@duJambon a dit dans Firefox sous assaut : 150 extensions piègent les cryptonautes :
C’est clair, s’il est obligatoire de passer par une extension
Meuh non pas du tout
Tu continues un peu à mélanger le fond de l’article avec ta position personnelle.
Même sans faire de crypto, on peut être concerné. Les extensions piégées peuvent aussi intercepter des connexions bancaires classiques, des accès à des services en ligne, ou voler des données perso, mots de passe, identifiants, cartes bancaires, données privées…
–> L’article parle surtout d’un problème de confiance et de contrôle sur les extensions, pas juste d’un cas d’usage crypto bien spécifique.
V:\> █░░ PR4IS3 TH3 C0D3 ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW…░░░▒▒▒▓▒▒▒░░░
░░░░░░▓░░░░░░
▒▒▒▒▓▓▓▓▓▒▒▒▒
░░░░░░▓░░░░░░ -
@Violence OK, j’avais cru comprendre que c’étaient des extensions spécifiques à la crypto (genre stockage de clef), rien de nouveau alors, vu que n’importe quelle extension peut piéger n’importe quoi.
-
@duJambon a dit dans Firefox sous assaut : 150 extensions piègent les cryptonautes :
OK, j’avais cru comprendre que c’étaient des extensions spécifiques à la crypto
Oui c’est le cas.
Bon j’abandonne
V:\> █░░ PR4IS3 TH3 C0D3 ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW…░░░▒▒▒▓▒▒▒░░░
░░░░░░▓░░░░░░
▒▒▒▒▓▓▓▓▓▒▒▒▒
░░░░░░▓░░░░░░ -
@Violence cryptonautes ou chiffronautes!
-
@michmich a dit dans Firefox sous assaut : 150 extensions piègent les cryptonautes :
cryptonautes ou chiffronautes!
Pas mal, pas mal
V:\> █░░ PR4IS3 TH3 C0D3 ░░█ ✌(◕‿-)✌
╚═ Admin, Dev et auteur de la plupart des bugs de PW…░░░▒▒▒▓▒▒▒░░░
░░░░░░▓░░░░░░
▒▒▒▒▓▓▓▓▓▒▒▒▒
░░░░░░▓░░░░░░
