É isso mesmo caros leitores(a) mais de 40 extensões que se disfarçavam de carteiras de criptomoedas, que estavam ali, quietas, só esperando o momento certo pra roubar suas chaves privadas.
Pesquisadores da Koi Security descobriram um verdadeiro desfile de extensões fraudulentas que imitam serviços legítimos como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero e vários outros nomes conhecidos no universo cripto. É como se um monte de clones mal-intencionados tivesse invadido a loja de extensões do Firefox.
E o pior: essa campanha está no ar desde abril de 2025 e novas extensões maliciosas continuam pipocando por lá até agora. Nada de golpe do passado, estamos falando de algo atual, ativo, e pegando muita gente desprevenida.
Popularidade fabricada com cinco estrelas compradas, usuários enganados
O truque? Inflar a popularidade das extensões com centenas de avaliações cinco estrelas. Mas quando você olha quantas pessoas realmente instalaram… o número não bate. Um clássico da manipulação digital parecer confiável com base em reviews falsos. Um teatro ensaiado pra enganar até os mais atentos.
Essas extensões usavam os mesmos nomes e ícones das originais. Algumas até reaproveitavam o código-fonte aberto das carteiras reais só que com um tempero extra, se assim podemos dizer, código malicioso injetado para roubar suas seed phrases e chaves privadas. Depois, tudo isso era enviado silenciosamente pra um servidor remoto. Um furto limpo, direto, sem alarde.
O ataque vem de dentro do navegador
Esqueça aqueles golpes clássicos com e-mails mal formatados e sites malfeitos. Aqui, o ataque vem do seu próprio navegador, de algo que você mesmo instalou achando que estava se protegendo. É uma armadilha elegante, tudo parece funcionar normalmente, até o momento em que sua carteira é drenada.
Yuval Ronen, o pesquisador que revelou a operação, foi direto ao ponto, é uma tática de baixo esforço e alto impacto. O usuário continua com a experiência esperada, enquanto no fundo, seus dados estão sendo colhidos com colher de chá.
Ah, e claro, sempre tem um rastro digital pra quem sabe seguir. Comentários no código em russo, metadados suspeitos em PDFs extraídos do servidor dos criminosos… tudo indica que o grupo por trás do golpe é de origem russa.
Mozilla agiu, mas nem tudo foi removido
A Mozilla já removeu quase todas as extensões maliciosas. A exceção? A extensão da MyMonero Wallet, que por algum motivo ainda está disponível. Em resposta ao escândalo, a empresa anunciou o desenvolvimento de um sistema de detecção precoce para impedir que essas pragas cheguem a ganhar popularidade antes de serem identificadas.
Como não virar mais uma vítima desse teatro de mentiras digitais
Aqui vai o básico, só instale extensões de desenvolvedores verificados. E mesmo assim, fique esperto. Revise permissões, monitore comportamentos estranhos, e se possível, cheque o código-fonte. A confiança agora precisa ser conquistada linha por linha.
A internet virou um grande tabuleiro de xadrez, e cada extensão instalada é um movimento. A pergunta é você está jogando com estratégia, ou só esperando o xeque-mate?
O que você faria hoje se soubesse que uma extensão que você usa está roubando seus dados? Você sabe mesmo quem está por trás das ferramentas que você confia?
