超出40款伪装成主流加密钱包的虚假Firefox扩展程序，正被用于一场持续的盗取用户钱包凭据的攻击行动。

网络安全公司Koi Security于7月2日发布报告称，已有40多款针对流行浏览器Mozilla Firefox的虚假扩展程序与一项正在实施的加密货币盗窃恶意软件行动相联系。

该大规模网络钓鱼行动利用伪装成Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、MyMonero、Bitget等主流钱包的扩展程序。一旦用户安装了这些恶意扩展，便会被窃取钱包凭据。

Koi Security表示：“目前我们已确认与该行动相关的扩展程序超过40款，并且攻击仍在持续。”

该行动自今年4月以来至少开始进行，最近一批恶意扩展程序则于上周被上传。报告显示，这些扩展会直接从被攻击的网站窃取用户钱包凭据，并将其上传到攻击者控制的远程服务器。

恶意软件通过界面设计诱导用户信任

报告指出，该行动通过虚假的评分、评论、伪装品牌形象及功能仿冒等手段提升这些扩展的可信度。某一款应用甚至获得了数百条虚假的五星好评。

此外，这些虚假扩展还使用与真实服务相同的名称和标志。在多个案例中，攻击者利用官方扩展的开源代码，复制应用并嵌入恶意代码：“这种低成本高收益的方式让攻击者能够保持用户所期待的使用体验，并减少被迅速发现的风险。”

疑似俄语威胁组织主导

Koi Security指出，“目前还无法确定具体源头”，但“多项迹象指向俄语威胁组织”。这些迹象包括代码中的俄语注释以及从相关恶意软件的指挥控制服务器获取的PDF文件元数据：“尽管尚无确凿证据，但这些线索表明该行动可能源自俄语威胁组织。”

为减少风险，Koi Security建议用户仅从经过验证的发布者处安装浏览器扩展。同时，应该将扩展程序视为完整的软件资产，采用白名单机制，并不断监控任何异常行为或更新。

相关推荐：SOL新闻动态：REX Shares Solana ETF提振价格，涨势能否持续？