加密貨幣流失，假錢包擴展程序充斥 Firefox 商店

一項新研究表明，惡意軟件活動正在利用惡意的 Firefox 插件冒充合法的加密錢包，試圖竊取粗心用戶的資金。

錦鯉安全發現“FoxyWallet”活動中有超過 40 個惡意擴展程序冒充了真正的加密錢包，其中包括 Coinbase Wallet、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr 和 MyMonero。

該惡意軟件活動發現惡意代碼用於將錢包機密洩露到攻擊者控制的服務器。 該代碼會檢查長度超過 30 個字符的輸入字符串，以篩選出真實的錢包密鑰/種子短語，然後再將數據發送給攻擊者。 受害者的外部 IP 地址也會被傳輸給攻擊者，以便進行跟踪或進一步定位。

Koi Security 解釋說，FoxyWALlet 的創建者“利用了官方擴展是開源的事實”，並補充說，“他們克隆了真正的代碼庫並插入了自己的惡意邏輯，創建了按預期運行的擴展，同時秘密竊取敏感數據。”

對這些惡意擴展的進一步探索表明，威脅行為者會說俄語，在他們的代碼中發現了俄語註釋，並且在命令和控制服務器上發現的 PDF 文件中的元數據中也發現了俄語註釋。

Koi Security 表示，該活動似乎至少從 4 月份就開始活躍，上週又添加了新的惡意擴展程序。 儘管該公司已使用 Firefox 官方報告工具報告了發現的問題，但直到昨天，一些虛假擴展程序仍然在 Firefox 附加組件商店中可用。

Firefox 的創造者 Mozilla 發布了陳述週四，該公司表示“意識到有人試圖使用惡意加密竊取擴展程序來利用 Firefox 的附加組件生態系統”，並補充說“通過改進工具和流程，我們已採取措施快速識別並刪除此類附加組件。”

該公司補充說，Koi Security 報告中標記的許多惡意擴展程序在發布之前已被其團隊刪除，並且“正在審查他們發現的其餘幾個附加組件，這是我們持續保護用戶承諾的一部分”。

“貓和老鼠遊戲”

Mozilla 指出最近博客文章該公司報告了其應對加密貨幣竊取擴展程序威脅的努力，其中其附加組件運營經理 Andreas Wagner 指出，該公司近年來發現了“數百個”詐騙加密錢包。 “這就像一場持續不斷的貓捉老鼠遊戲，”Wagner 表示，惡意軟件開發者試圖“繞過我們的檢測方法”。

解密已聯繫 Mozilla，如果他們回應，我們將更新本文。

為了避免成為 FoxyWallet 或類似騙局的受害者，建議用戶僅下載和安裝來自經過驗證的發布者的擴展程序，將擴展程序視為完整的軟件資產，使用擴展程序允許列表將安裝限制為預先批准的、經過驗證的擴展程序，並實施持續監控，而不僅僅是一次性掃描。