警告：目前有超過40個假Firefox插件在竊取加密錢包

一個復雜且大規模的惡意活動被發現，與數十個僞造的Firefox瀏覽器擴展相關，旨在竊取用戶的加密錢包信息。

根據安全研究團隊 Koi Security 的一份報告，已經確定了至少 40 個惡意實用程序，冒充 Coinbase、MetaMask、Trust、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet 和 Filfox 等知名錢包。

該活動自2025年4月以來至少以低調的方式進行，並仍在持續。許多惡意擴展甚至仍在上周的Firefox附加組件商店中出現。這些擴展通過直接從用戶訪問的網站竊取加密錢包的登入信息，然後將數據發送到攻擊者控制的服務器。此外，它們還收集受害者的外部IP地址，可能旨在進行進一步的跟蹤或攻擊。

這些工具旨在通過一些常見的建立信任的手段來欺騙用戶，例如虛假的五星評價、與官方工具完全相同的界面和名稱，使用戶容易混淆。在某些情況下，攻擊者復制了原始工具的開源代碼，僅添加了幾行惡意代碼以竊取數據，從而保持用戶體驗以避免引起懷疑。

Koi Security表示，此次攻擊可能源於一個講俄語的團體，基於從控制服務器(C2)提取的PDF文件中的俄語注釋代碼和元數據。然而，研究小組指出，歸責問題尚未得出最終結論。

來自 Koi Security 的建議：

• 僅從已驗證的開發者安裝插件。
• 不要完全相信應用商店中的評價和高排名。
• 建立組織內允許使用的工具白名單。
• 進行持續監控，因爲應用程序在安裝後可能會更新惡意代碼。

Koi Security認爲，管理瀏覽器插件這一深度訪問系統的工具，是一個在很長一段時間內常被忽視的網路安全方面。Koi的工具目前正被大型企業、金融機構和科技公司用於審查和控制來自Firefox、Chrome Web Store、VSCode、Hugging Face、Homebrew、GitHub等平台的瀏覽器插件和開源代碼的風險…

韓信