GreedyBear infectó Firefox. Un millón de dólares perdidos con las claves privadas

Una campaña a gran escala llamada GreedyBear se infiltró en la tienda de complementos de Mozilla, infectando Firefox con 150 extensiones maliciosas y robando aproximadamente un millón de dólares a los usuarios. Según Koi Security, los atacantes disfrazaron su software como monederos de criptomonedas populares como MetaMask, TronLink y Rabby. En la primera etapa, se subieron versiones seguras a la tienda, las cuales pasaron la moderación y acumularon reseñas falsas positivas. Luego, los autores cambiaban los nombres, logotipos e introducían código para robar datos.

Las extensiones modificadas interceptaban la entrada en formularios o ventanas emergentes, enviando las claves robadas y las direcciones IP de las víctimas a un servidor remoto. Según el representante de Koi Security, Tuval Admoni, el código registraba las credenciales directamente en la interfaz de la propia extensión y, durante la inicialización, transmitía la dirección IP para una posible identificación o selección de objetivos.

La campaña estuvo respaldada por una red de sitios web con software pirata, que distribuían alrededor de 500 archivos ejecutables maliciosos. Además, se utilizaron páginas falsas que se hacían pasar por servicios como Trezor, Jupiter Wallet y supuestos “talleres” para la recuperación de monederos de criptomonedas. Estos recursos distribuían troyanos, ladrones de datos como LummaStealer e incluso programas de ransomware. Todos ellos llevaban a la misma dirección IP, que actuaba como centro de control.

Koi Security proporcionó los datos a Mozilla y las extensiones maliciosas fueron eliminadas del catálogo, pero la magnitud y la simplicidad de la operación demostraron cómo la IA ayuda a los delincuentes a desarrollar y escalar rápidamente este tipo de esquemas. El análisis del código reveló indicios de generación automática, lo que permitió a los atacantes cambiar la carga útil más rápidamente y evadir la detección.

El mes pasado, Firefox ya se enfrentó a un ataque similar: más de 40 extensiones falsas copiaban monederos de criptomonedas conocidos como Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr y MyMonero. Esto ocurrió a pesar de que en junio de 2025 Mozilla implementó un sistema para detectar este tipo de complementos.

Los investigadores señalan que GreedyBear podría ir más allá de Firefox: ya se ha detectado una extensión maliciosa de Filecoin Wallet en Chrome Web Store que utiliza el mismo código de robo de datos y se conecta al mismo servidor. Los especialistas aconsejan descargar monederos solo desde los enlaces de los sitios oficiales y comprobar cuidadosamente la información del desarrollador y las reseñas.