Компания по обеспечению безопасности Koi выявила более 40 поддельных расширений для криптовалютных кошельков в магазине дополнений Firefox, которые выдавали себя за популярные кошельки, такие как MetaMask и Coinbase Wallet. Эти вредоносные расширения созданы для кражи конфиденциальной информации, такой как мнемонические фразы, путем перехвата вводимых данных длиной более 30 символов с помощью кода мониторинга событий. Украденные данные затем передаются на серверы злоумышленников. Фишинговая операция, как полагают, организована российской хакерской группой и активна как минимум с апреля 2025 года.