網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)40余款針對Mozilla Firefox瀏覽器的惡意擴展程序，這些程序?qū)ｉT竊取加密貨幣錢包密鑰，使用戶數(shù)字資產(chǎn)面臨風險。

仿冒主流錢包工具

Koi Security研究員Yuval Ronen表示："這些擴展程序偽裝成Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet和Filfox等主流平臺的合法錢包工具。"據(jù)悉，這場大規(guī)模攻擊活動至少從2025年4月持續(xù)至今，最新一批惡意擴展上周仍在上傳至火狐擴展商店。

偽造好評提升可信度

調(diào)查發(fā)現(xiàn)，這些惡意擴展通過偽造數(shù)百條五星好評來虛增人氣，其好評數(shù)量遠超實際安裝量。攻擊者采用這種策略制造廣泛使用的假象，誘騙用戶安裝。另一種提升可信度的手段是直接冒用合法錢包工具的名稱和標識。

開源項目遭惡意篡改

由于部分正版擴展本身是開源項目，攻擊者得以克隆其源代碼并植入惡意功能，用于從目標網(wǎng)站提取錢包密鑰和助記詞，并外泄至遠程服務(wù)器。這些惡意擴展還會收集受害者的外部IP地址。與傳統(tǒng)依賴虛假網(wǎng)站或郵件的網(wǎng)絡(luò)釣魚不同，這些擴展直接在用戶瀏覽器內(nèi)部運行，使傳統(tǒng)終端防護工具更難檢測或攔截。

Ronen指出："這種低成本高收益的攻擊方式，既能維持正常的用戶體驗，又降低了被即時發(fā)現(xiàn)的可能性。"源代碼中的俄語注釋以及從C2服務(wù)器獲取的PDF元數(shù)據(jù)表明，攻擊者可能來自俄語國家。

防護措施與應(yīng)對方案

目前除MyMonero Wallet外，所有已識別的惡意擴展均被Mozilla下架。上月，該瀏覽器開發(fā)商宣布已開發(fā)"早期檢測系統(tǒng)"，可在詐騙類加密貨幣錢包擴展流行前進行攔截，防止其誘騙用戶輸入憑證竊取資產(chǎn)。為降低此類威脅風險，建議僅安裝經(jīng)過驗證的發(fā)布者提供的擴展程序，并定期檢查確保其安裝后行為未發(fā)生異常變更。