如果你擁有加密貨幣並使用Firefox，黑客正在瞄準你

網路安全公司Koi Security發現了一場大規模的惡意活動，針對通過假冒Firefox擴展程序進行操作的加密貨幣用戶。

該活動涉及超過40個擴展，冒充廣泛使用的加密錢包工具。

這包括 Coinbase、MetaMask、Trust、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet 和 Filfox。安裝後，這些擴展會悄悄竊取錢包憑證並將其導出到攻擊者控制的服務器，立即將用戶資產置於風險之中。

加密用戶面臨風險

在其最新的帖子中，Koi Security 揭示該活動自至少 2025 年 4 月以來一直在進行。事實上，最近甚至上周在 Mozilla 附加組件商店出現了新的欺詐性上傳，這表明該操作仍在持續、適應性強且頑固不拔。

這些擴展在初始化期間傳輸受害者的外部IP地址，可能用於跟蹤或定位，同時直接從目標網站提取錢包祕密。通過復制評級、評論和品牌，攻擊者使他們的擴展看起來值得信賴，這最終導致更多用戶下載它們。

許多虛假的擴展程序擁有數百條虛假的正面評價，超過了它們實際的用戶基礎，這使得它們在Mozilla附加組件生態系統中看起來被廣泛採用且信譽良好。

在幾個案例中，攻擊者被發現複製了真實的開源錢包擴展，並嵌入了惡意邏輯，同時維持了預期的功能。這是爲了避免被檢測到，並確保無縫的用戶體驗，這種策略使得持續的憑證竊取得以進行而不引起懷疑。

Koi Security的調查追蹤了該活動共享的基礎設施以及在各個擴展中的戰術、技術和程序(TTPs)，揭示了一個專注於憑證收集和用戶追蹤的協調操作，旨在加密生態系統內進行。它呼籲Firefox用戶立即查看已安裝的擴展，卸載可疑工具，並在可能的情況下更換錢包憑證。

該公司還表示，它正在積極與Mozilla合作，刪除已識別的惡意擴展，並監控與此活動相關的進一步上傳情況。

競選代碼中的俄羅斯線索

證據表明，一個講俄語的威脅組織可能與該活動有關。Koi Security聲稱在擴展的代碼和控制服務器上的PDF元數據中發現了隱藏的俄語筆記，顯示了俄文文本。

這些線索不是最終證據，但指向一個可能的俄語演員在進行該操作。

最新報告是在一個潛在的與俄羅斯相關的加密網絡釣魚騙局被SlowMist發現幾個月後發布的，該騙局利用假Zoom會議連結盜取了數百萬。區塊鏈安全公司追蹤到惡意軟件的活動源自荷蘭的一個服務器，但在攻擊者的工具中發現了俄語腳本，這表明可能有講俄語的作案人員。攻擊者清空了錢包，並在主要交易所將盜取的資產轉換爲ETH。