交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注
网络安全公司揭露针对加密货币用户的大规模恶意扩展程序活动
网络安全公司Koi Security发现了一场通过伪造Firefox扩展程序针对加密货币用户的大规模恶意活动。该活动涉及40多个仿冒常用加密货币钱包工具的扩展程序,包括Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet和Filfox等知名钱包。一旦安装这些扩展程序,它们会悄无声息地窃取钱包凭证并将其传输到攻击者控制的服务器,使用户资产面临即时风险。
活动持续活跃且具有欺骗性
Koi Security在其最新报告中披露,该恶意活动至少自2025年4月起就一直活跃。事实上,直到上周Mozilla附加组件商店还出现了新的欺诈性上传,这表明该行动仍在进行中,且具有适应性、持续性。
这些扩展程序在初始化期间会传输受害者的外部IP地址(可能用于跟踪或定位),同时直接从目标网站提取钱包密钥。通过复制评分、评论和品牌标识,攻击者使他们的扩展程序看起来值得信赖,这最终导致更多用户下载这些恶意程序。
精心设计的伪装手段
许多虚假扩展程序带有数百条虚假好评,超过了其实际用户基数,这使得它们在Mozilla附加组件生态系统中显得被广泛采用且信誉良好。在某些案例中,攻击者被发现克隆了真实的开源钱包扩展程序并嵌入了恶意逻辑,同时保持预期的功能。这样做是为了避免检测并确保无缝的用户体验,这种策略允许他们持续窃取凭证而不引起怀疑。
安全建议与应对措施
Koi Security的调查追踪了这些扩展程序共享的基础设施、策略、技术和程序(TTPs),揭示了一个专注于加密货币生态系统中凭证收集和用户跟踪的协同操作。该公司敦促Firefox用户立即检查已安装的扩展程序,卸载可疑工具,并在可能的情况下轮换钱包凭证。
该公司还表示,正在积极与Mozilla合作,移除已识别的恶意扩展程序,并监控与该活动相关的进一步上传。
可能来自俄语攻击者的威胁
有证据表明,一个讲俄语的威胁组织可能是此次活动的幕后黑手。Koi Security声称在扩展程序代码中发现了隐藏的俄语注释,并在控制服务器的PDF元数据中发现了俄语文本。这些线索虽然不是最终证据,但表明可能有一个讲俄语的攻击者在运行该活动。
就在几个月前,区块链安全公司SlowMist发现了一起可能与俄罗斯有关的加密货币钓鱼骗局,该骗局使用虚假Zoom会议链接窃取了数百万资产。攻击者的工具中包含俄语脚本,表明可能是俄语操作者。攻击者清空了钱包并将被盗资产转换为ETH,通过各大交易所转移。
