超过40款伪装成主流加密钱包的虚假Firefox扩展程序，正在进行一场持续的用户钱包凭据盗取攻击。

网络安全公司Koi Security于7月2日发布的报告显示，已有40多款针对流行浏览器Mozilla Firefox开发的虚假扩展程序，参与了一项持续的加密货币盗窃恶意软件活动。

据透露，这项大规模网络钓鱼行动部署了伪装成Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、MyMonero、Bitget等多个主流钱包工具的扩展程序。一旦用户安装这些恶意扩展，便会导致其钱包凭据被窃取。

Koi Security指出：“迄今为止，我们已将40多款不同的扩展程序与该攻击行动关联，攻击仍在继续。”

该报告强调，该行动自四月以来至少开展，而最近一批扩展于上周上传。通过这些扩展，攻击者可以直接从目标网站窃取钱包凭据，并将其上传至远程控制的服务器。

恶意软件通过界面设计诱导用户信任

报告显示，攻击者通过虚假的评分、评论、品牌仿冒及功能伪装等手段，提高这些扩展的可信度。其中某款应用甚至获得了数百条虚假的五星评价。

这些虚假扩展还使用与真实服务相同的名称和标志。在多个案例中，攻击者通过利用官方扩展的开源代码，克隆应用并植入恶意代码。这种低投入高回报的策略，允许攻击者维持用户期望的使用体验，同时降低被发现的风险。

疑似俄语威胁组织主导

Koi Security表示，“虽然归因尚未确立”，但“多项迹象指向俄语威胁组织”。相关证据包括代码中的俄语注释，以及从相关恶意软件指挥控制服务器获取的PDF文件元数据：“虽然没有确凿证据，但这些痕迹暗示该行动可能涉及俄语威胁组织。”

为降低风险，Koi Security建议用户仅从经过验证的发布者处安装浏览器扩展。此外，应将扩展程序视为完整的软件资产，采取白名单机制，并持续监测任何异常行为或更新。

相关推荐：SOL新闻动态：REX Shares Solana ETF提振价格，涨势能否持续？