Die Sicherheitsfirma Koi hat über 40 gefälschte Kryptowährungs-Wallet-Erweiterungen im Firefox-Add-on-Store identifiziert, die beliebte Wallets wie MetaMask und Coinbase Wallet nachahmen. Diese bösartigen Erweiterungen sind darauf ausgelegt, sensible Informationen wie Mnemonics zu stehlen, indem sie Eingabedaten, die mehr als 30 Zeichen umfassen, durch Event-Überwachungscode erfassen. Die gestohlenen Daten werden anschließend an die Server der Angreifer übertragen. Die Phishing-Aktion, von der angenommen wird, dass sie von einer russischen Hackergruppe orchestriert wird, ist mindestens seit April 2025 aktiv.