40 余款恶意火狐扩展瞄准加密货币钱包窃取用户资产

2025-11-26 18:57:58分类：人工智能阅读(4746)

网络安全研究人员发现40余款针对Mozilla Firefox浏览器的余款用户恶意扩展程序，这些程序专门窃取加密货币钱包密钥 ，恶意使用户数字资产面临风险 。火狐货币

仿冒主流钱包工具

Koi Security研究员Yuval Ronen表示："这些扩展程序伪装成Coinbase、扩展MetaMask 、瞄准Trust Wallet、加密Phantom 、钱包窃Exodus、资产OKX、余款用户Keplr 、免费模板恶意MyMonero 、火狐货币Bitget 、扩展Leap、瞄准Ethereum Wallet和Filfox等主流平台的加密合法钱包工具 。"据悉
，钱包窃这场大规模攻击活动至少从2025年4月持续至今，最新一批恶意扩展上周仍在上传至火狐扩展商店。

伪造好评提升可信度

调查发现 ，这些恶意扩展通过伪造数百条五星好评来虚增人气 ，亿华云其好评数量远超实际安装量
。攻击者采用这种策略制造广泛使用的假象，诱骗用户安装
。另一种提升可信度的手段是直接冒用合法钱包工具的名称和标识
。

开源项目遭恶意篡改

由于部分正版扩展本身是开源项目
，香港云服务器攻击者得以克隆其源代码并植入恶意功能，用于从目标网站提取钱包密钥和助记词 ，并外泄至远程服务器 。这些恶意扩展还会收集受害者的外部IP地址 。与传统依赖虚假网站或邮件的网络钓鱼不同 ，这些扩展直接在用户浏览器内部运行，使传统终端防护工具更难检测或拦截 。

Ronen指出
："这种低成本高收益的模板下载攻击方式
，既能维持正常的用户体验，又降低了被即时发现的可能性 。"源代码中的俄语注释以及从C2服务器获取的PDF元数据表明 ，攻击者可能来自俄语国家 。

防护措施与应对方案

目前除MyMonero Wallet外  ，云计算所有已识别的恶意扩展均被Mozilla下架。上月，该浏览器开发商宣布已开发"早期检测系统"，可在诈骗类加密货币钱包扩展流行前进行拦截 ，防止其诱骗用户输入凭证窃取资产
。为降低此类威胁风险 ，建议仅安装经过验证的发布者提供的扩展程序
，源码库并定期检查确保其安装后行为未发生异常变更 。