Los hackers están a la caza de los creadores de extensiones de Firefox. Ya se han encontrado las primeras víctimas
Incluso una sola cuenta comprometida puede infectar millones de navegadores.
Mozilla advirtió a los desarrolladores de extensiones para Firefox sobre una nueva campaña de phishing dirigida a comprometer sus cuentas en la plataforma oficial AMO (addons.mozilla.org). Este ecosistema incluye más de 60.000 complementos y más de medio millón de temas, utilizados diariamente por decenas de millones de personas en todo el mundo.
Según la información del aviso publicado, los atacantes envían correos electrónicos en nombre del equipo de AMO afirmando que la cuenta del desarrollador necesita una actualización urgente para mantener el acceso a las herramientas. En realidad, estos mensajes conducen a sitios falsos creados para robar credenciales de inicio de sesión. El contenido del mensaje suele incluir una formulación como «Su cuenta de complementos de Mozilla requiere una actualización para continuar utilizando las funciones de desarrollador», lo que busca alarmar al destinatario y motivarlo a seguir un enlace malicioso.
Mozilla recomendó encarecidamente verificar la autenticidad de los correos: deben proceder de los dominios firefox.com, mozilla.org, mozilla.com o sus subdominios, y superar la verificación básica de autenticidad mediante SPF, DKIM y DMARC. Se aconseja a los desarrolladores evitar seguir enlaces incluidos en mensajes de este tipo y, si es necesario, acceder directamente al sitio de AMO a través de la dirección oficial para confirmar la vigencia de cualquier información. Se enfatiza especialmente que el nombre de usuario y la contraseña solo deben introducirse en los sitios originales de Mozilla o Firefox.
Aunque el alcance del ataque aún no se ha revelado, Mozilla confirmó que al menos un desarrollador ya ha sido víctima de este esquema. Esto demuestra una amenaza real, a pesar de que por ahora no se disponga de datos sobre el número de cuentas comprometidas o las acciones posteriores de los atacantes. Los representantes de la organización prometieron proporcionar más información en cuanto esté disponible.
En este contexto surge un antecedente importante. El mes pasado, el equipo de Add-ons Operations implementó una nueva medida de seguridad destinada a bloquear automáticamente las extensiones maliciosas que se hacen pasar por monederos de criptomonedas. Como señaló el jefe de este equipo, Andreas Wagner, en los últimos años se han identificado y eliminado cientos de extensiones peligrosas. Algunas de ellas se utilizaron directamente para robar criptomonedas, aunque no todas presentaban signos evidentes de actividad maliciosa.
A la luz de esto, las estadísticas resultan especialmente alarmantes: solo el año pasado, los delincuentes lograron sustraer alrededor de 494 millones de dólares en criptomonedas mediante ataques a monederos, con más de 300.000 direcciones únicas afectadas. Casos como estos demuestran lo peligroso que puede ser incluso un único compromiso de una cuenta de desarrollador: dado el gran alcance de los complementos, se convierten en un canal ideal para la inserción de código malicioso.
En resumen, los desarrolladores que publican extensiones en la plataforma de Mozilla vuelven a encontrarse en una zona de riesgo. En este caso, el phishing no solo representa una amenaza para la seguridad personal, sino también un posible canal de infección para decenas de millones de usuarios en todo el mundo.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!