網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)40余款針對(duì)Mozilla Firefox瀏覽器的惡意擴(kuò)展程序，這些程序?qū)ｉT竊取加密貨幣錢包密鑰，使用戶數(shù)字資產(chǎn)面臨風(fēng)險(xiǎn)。

仿冒主流錢包工具

Koi Security研究員Yuval Ronen表示："這些擴(kuò)展程序偽裝成Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet和Filfox等主流平臺(tái)的合法錢包工具。"據(jù)悉，這場(chǎng)大規(guī)模攻擊活動(dòng)至少從2025年4月持續(xù)至今，最新一批惡意擴(kuò)展上周仍在上傳至火狐擴(kuò)展商店。

偽造好評(píng)提升可信度

調(diào)查發(fā)現(xiàn)，這些惡意擴(kuò)展通過偽造數(shù)百條五星好評(píng)來虛增人氣，其好評(píng)數(shù)量遠(yuǎn)超實(shí)際安裝量。攻擊者采用這種策略制造廣泛使用的假象，誘騙用戶安裝。另一種提升可信度的手段是直接冒用合法錢包工具的名稱和標(biāo)識(shí)。

開源項(xiàng)目遭惡意篡改

由于部分正版擴(kuò)展本身是開源項(xiàng)目，攻擊者得以克隆其源代碼并植入惡意功能，用于從目標(biāo)網(wǎng)站提取錢包密鑰和助記詞，并外泄至遠(yuǎn)程服務(wù)器。這些惡意擴(kuò)展還會(huì)收集受害者的外部IP地址。與傳統(tǒng)依賴虛假網(wǎng)站或郵件的網(wǎng)絡(luò)釣魚不同，這些擴(kuò)展直接在用戶瀏覽器內(nèi)部運(yùn)行，使傳統(tǒng)終端防護(hù)工具更難檢測(cè)或攔截。

Ronen指出："這種低成本高收益的攻擊方式，既能維持正常的用戶體驗(yàn)，又降低了被即時(shí)發(fā)現(xiàn)的可能性。"源代碼中的俄語注釋以及從C2服務(wù)器獲取的PDF元數(shù)據(jù)表明，攻擊者可能來自俄語國(guó)家。

防護(hù)措施與應(yīng)對(duì)方案

目前除MyMonero Wallet外，所有已識(shí)別的惡意擴(kuò)展均被Mozilla下架。上月，該瀏覽器開發(fā)商宣布已開發(fā)"早期檢測(cè)系統(tǒng)"，可在詐騙類加密貨幣錢包擴(kuò)展流行前進(jìn)行攔截，防止其誘騙用戶輸入憑證竊取資產(chǎn)。為降低此類威脅風(fēng)險(xiǎn)，建議僅安裝經(jīng)過驗(yàn)證的發(fā)布者提供的擴(kuò)展程序，并定期檢查確保其安裝后行為未發(fā)生異常變更。