PANewsは7月2日、BleepingComputerの情報によると、セキュリティ企業KoiがFirefoxブラウザの公式プラグインストアで、MetaMaskやCoinbase Walletといった主流のウォレットを装った40以上の偽の暗号資産ウォレット拡張機能を発見したと報じました。これらの悪意のあるプラグインは、イベント監視コードを埋め込むことで30文字以上の入力内容（主にニーモニック用）を盗み、そのデータを攻撃者のサーバーに送信します。

調査によると、このフィッシング詐欺キャンペーンは少なくとも2025年4月から行われており、背後にいるグループはロシアのハッカーグループと疑われています。この悪質プラグインは、正規のブランドロゴを盗むだけでなく、偽の5つ星レビューを大量に投稿することで信頼性を高めています。一部のユーザーは1つ星レビューでこの詐欺行為を暴露していますが、多くの偽プラグインのダウンロード量は依然として著しく異常です。Firefoxには自動リスク検出システムが搭載されていますが、記事執筆時点で報告されている悪質プラグインの多くは削除されていません。研究者は、ウォレット拡張機能をインストールする際は、開発者情報とダウンロード量の信頼性を確認するようユーザーに注意喚起しています。