如果你拥有加密货币并使用Firefox，黑客正在瞄准你

网络安全公司Koi Security发现了一场大规模的恶意活动，针对通过假冒Firefox扩展程序进行操作的加密货币用户。

该活动涉及超过40个扩展，冒充广泛使用的加密钱包工具。

这包括 Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet 和 Filfox。安装后，这些扩展会悄悄窃取钱包凭证并将其导出到攻击者控制的服务器，立即将用户资产置于风险之中。

加密用户面临风险

在其最新的帖子中，Koi Security 揭示该活动自至少 2025 年 4 月以来一直在进行。事实上，最近甚至上周在 Mozilla 附加组件商店出现了新的欺诈性上传，这表明该操作仍在持续、适应性强且顽固不拔。

这些扩展在初始化期间传输受害者的外部IP地址，可能用于跟踪或定位，同时直接从目标网站提取钱包秘密。通过复制评级、评论和品牌，攻击者使他们的扩展看起来值得信赖，这最终导致更多用户下载它们。

许多虚假的扩展程序拥有数百条虚假的正面评价，超过了它们实际的用户基础，这使得它们在Mozilla附加组件生态系统中看起来被广泛采用且信誉良好。

在几个案例中，攻击者被发现克隆了真实的开源钱包扩展，并嵌入了恶意逻辑，同时维持了预期的功能。这是为了避免被检测到，并确保无缝的用户体验，这种策略使得持续的凭证窃取得以进行而不引起怀疑。

Koi Security的调查追踪了该活动共享的基础设施以及在各个扩展中的战术、技术和程序(TTPs)，揭示了一个专注于凭证收集和用户追踪的协调操作，旨在加密生态系统内进行。它呼吁Firefox用户立即查看已安装的扩展，卸载可疑工具，并在可能的情况下更换钱包凭证。

该公司还表示，它正在积极与Mozilla合作，删除已识别的恶意扩展，并监控与此活动相关的进一步上传情况。

竞选代码中的俄罗斯线索

证据表明，一个讲俄语的威胁组织可能与该活动有关。Koi Security声称在扩展的代码和控制服务器上的PDF元数据中发现了隐藏的俄语笔记，显示了俄文文本。

这些线索不是最终证据，但指向一个可能的俄语演员在进行该操作。

最新报告是在一个潜在的与俄罗斯相关的加密网络钓鱼骗局被SlowMist发现几个月后发布的，该骗局利用假Zoom会议链接盗取了数百万。区块链安全公司追踪到恶意软件的活动源自荷兰的一个服务器，但在攻击者的工具中发现了俄语脚本，这表明可能有讲俄语的作案人员。攻击者清空了钱包，并在主要交易所将盗取的资产转换为ETH。