セキュリティ企業のKoiは、FirefoxのアドオンストアでMetaMaskやCoinbase Walletなどの人気ウォレットを装った40以上の偽の暗号通貨ウォレット拡張機能を特定しました。これらの悪意ある拡張機能は、イベント監視コードを通じて30文字を超える入力データをキャプチャし、ニーモニックなどの機密情報を盗むように設計されています。盗まれたデータは攻撃者のサーバーに送信されます。このフィッシング作戦は、ロシアのハッカーグループによって仕組まれたと考えられており、少なくとも2025年4月から活動しています。