警告：目前有超过40个假Firefox插件在窃取加密钱包

一个复杂且大规模的恶意活动被发现，与数十个伪造的Firefox浏览器扩展相关，旨在窃取用户的加密钱包信息。

根据安全研究团队 Koi Security 的一份报告，已经确定了至少 40 个恶意实用程序，冒充 Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet 和 Filfox 等知名钱包。

该活动自2025年4月以来至少以低调的方式进行，并仍在持续。许多恶意扩展甚至仍在上周的Firefox附加组件商店中出现。这些扩展通过直接从用户访问的网站窃取加密钱包的登录信息，然后将数据发送到攻击者控制的服务器。此外，它们还收集受害者的外部IP地址，可能旨在进行进一步的跟踪或攻击。

这些工具旨在通过一些常见的建立信任的手段来欺骗用户，例如虚假的五星评价、与官方工具完全相同的界面和名称，使用户容易混淆。在某些情况下，攻击者复制了原始工具的开源代码，仅添加了几行恶意代码以窃取数据，从而保持用户体验以避免引起怀疑。

Koi Security表示，此次攻击可能源于一个讲俄语的团体，基于从控制服务器(C2)提取的PDF文件中的俄语注释代码和元数据。然而，研究小组指出，归责问题尚未得出最终结论。

来自 Koi Security 的建议：

• 仅从已验证的开发者安装插件。
• 不要完全相信应用商店中的评价和高排名。
• 建立组织内允许使用的工具白名单。
• 进行持续监控，因为应用程序在安装后可能会更新恶意代码。

Koi Security认为，管理浏览器插件这一深度访问系统的工具，是一个在很长一段时间内常被忽视的网络安全方面。Koi的工具目前正被大型企业、金融机构和科技公司用于审查和控制来自Firefox、Chrome Web Store、VSCode、Hugging Face、Homebrew、GitHub等平台的浏览器插件和开源代码的风险…

韩信