Eine groß angelegte Hacker-Kampagne hat die Krypto-Welt aufgeschreckt. Das Sicherheitsunternehmen Koi hat aufgedeckt, dass sich mehr als 40 gefälschte Erweiterungen für Krypto-Wallets im Firefox-Addon-Store befinden. Diese bösartigen Erweiterungen zielen auf bekannte Wallets wie MetaMask, Coinbase Wallet, Trust Wallet und andere ab, mit dem Ziel, geheime Seed Phrases zu stehlen.
Wer eine dieser gefälschten Erweiterungen installiert, setzt sich unmittelbar einem Risiko aus. Die Malware sendet heimlich die Wallet-Daten, einschließlich der Seed Phrase und der IP-Adresse, an externe Server der Angreifer. Laut Koi ist die Kampagne bereits seit April 2025 aktiv, und es tauchen wöchentlich neue Varianten auf.
Bitcoin ist erhältlich bei Bitvavo und Bybit.
So täuschen Hacker ihre Opfer
Die Entwickler dieser gefälschten Erweiterungen gehen äußerst raffiniert vor. Sie kopieren einfach das Erscheinungsbild, die Namen und Logos der offiziellen Wallets. Dadurch wirken die schadhaften Erweiterungen auf den ersten Blick völlig seriös.
Doch sie gehen noch weiter. Einige Erweiterungen verfügen über Hunderte gefälschter Fünf-Sterne-Bewertungen, um zusätzliches Vertrauen zu erwecken. So wirken sie beliebt und sicher, obwohl sie in Wahrheit gezielt Krypto-Vermögen stehlen sollen.
Ein weiterer Trick: Die Betrüger verwenden den Open-Source-Code der Original-Wallets als Grundlage und fügen dann unbemerkt schädliche Skripte hinzu. Dadurch funktionieren die Erweiterungen scheinbar normal, während sie im Hintergrund sensible Daten abgreifen.
Möglicher russischer Ursprung und Sicherheitstipps für Nutzer
Auch wenn es bislang keine eindeutigen Beweise zur Herkunft gibt, deutet Koi auf eine russischsprachige Gruppe als Urheber hin. In den Codes der Erweiterungen sowie auf den Servern der Angreifer fanden sich russische Texte und Metadaten.
Die Warnung von Koi ist eindeutig: Seien Sie äußerst vorsichtig bei Browser-Erweiterungen, selbst wenn sie auf den ersten Blick vertrauenswürdig wirken. Ihre Empfehlungen:
- Installieren Sie ausschließlich Erweiterungen von offiziell verifizierten Anbietern.
- Verlassen Sie sich nicht blind auf Bewertungen oder Sterne – diese können gefälscht sein.
- Überwachen Sie regelmäßig Ihre installierten Erweiterungen – sie können sich jederzeit verändern.
- Nutzen Sie eine Whitelist, um nur genehmigte Erweiterungen zuzulassen.
Laut Koi zeigt dieser Angriff deutlich, wie groß das Sicherheitsrisiko durch Browser-Erweiterungen inzwischen geworden ist – insbesondere im Bereich der Krypto-Wallets. Weitere Details zur Analyse finden Sie im vollständigen Bericht von Koi Security.