網絡安全研究人員發現40余款針對Mozilla Firefox瀏覽器的惡意擴展程序，這些程序專門竊取加密貨幣錢包密鑰，使用戶數字資產面臨風險。

仿冒主流錢包工具

Koi Security研究員Yuval Ronen表示："這些擴展程序偽裝成Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet和Filfox等主流平臺的合法錢包工具。"據悉，這場大規模攻擊活動至少從2025年4月持續至今，最新一批惡意擴展上周仍在上傳至火狐擴展商店。

偽造好評提升可信度

調查發現，這些惡意擴展通過偽造數百條五星好評來虛增人氣，其好評數量遠超實際安裝量。攻擊者采用這種策略制造廣泛使用的假象，誘騙用戶安裝。另一種提升可信度的手段是直接冒用合法錢包工具的名稱和標識。

開源項目遭惡意篡改

由于部分正版擴展本身是開源項目，攻擊者得以克隆其源代碼并植入惡意功能，用于從目標網站提取錢包密鑰和助記詞，并外泄至遠程服務器。這些惡意擴展還會收集受害者的外部IP地址。與傳統依賴虛假網站或郵件的網絡釣魚不同，這些擴展直接在用戶瀏覽器內部運行，使傳統終端防護工具更難檢測或攔截。

Ronen指出："這種低成本高收益的攻擊方式，既能維持正常的用戶體驗，又降低了被即時發現的可能性。"源代碼中的俄語注釋以及從C2服務器獲取的PDF元數據表明，攻擊者可能來自俄語國家。

防護措施與應對方案

目前除MyMonero Wallet外，所有已識別的惡意擴展均被Mozilla下架。上月，該瀏覽器開發商宣布已開發"早期檢測系統"，可在詐騙類加密貨幣錢包擴展流行前進行攔截，防止其誘騙用戶輸入憑證竊取資產。為降低此類威脅風險，建議僅安裝經過驗證的發布者提供的擴展程序，并定期檢查確保其安裝后行為未發生異常變更。