一项新的研究表明，一场恶意软件活动正在利用伪装成合法加密钱包的恶意Firefox扩展，试图窃取毫无防备用户的资金。

Koi Security发现，超过40个恶意扩展在“FoxyWallet”活动中伪装成真实的加密钱包，包括Coinbase Wallet、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr和MyMonero。

该恶意软件活动使用恶意代码将钱包秘密导出到攻击者控制的服务器。该代码检查输入字符串是否超过30个字符，以过滤出真实的钱包密钥/种子短语，然后将数据发送给攻击者。受害者的外部IP地址也会传输给攻击者，从而实现跟踪或进一步的目标定位。

Koi Security解释说，FoxyWallet的创建者“利用了官方扩展是开源的这一事实”，并补充道：“他们克隆了真实的代码库并插入了自己的恶意逻辑，创建了按预期行为的扩展，同时秘密窃取敏感数据。”

对这些恶意扩展的进一步探索表明，可能是一个讲俄语的威胁行为者，因为在其代码中发现了俄语评论，以及在发现的命令与控制服务器上的PDF文件中找到的元数据。

根据Koi Security的说法，该活动自至少四月以来就一直活跃，上周新增了恶意扩展。尽管该公司已通过官方报告工具向Firefox报告了其发现，但一些假扩展在昨天仍然可以在Firefox附加组件商店中找到。

Firefox的创建者Mozilla在周四发布了一份声明，表示该公司“意识到利用恶意加密窃取扩展来利用Firefox附加组件生态系统的尝试”，并补充道：“通过改进工具和流程，我们已采取措施迅速识别并删除此类附加组件。”

该公司补充说，Koi Security报告中标记的许多恶意扩展在发布前已被其团队移除，并且他们“正在审查剩余的少数附加组件，作为我们持续保护用户的承诺的一部分。”

“猫鼠游戏”

Mozilla提到了一篇最近的博客文章，报告了其应对加密窃取扩展威胁的努力，其中其附加组件运营经理Andreas Wagner指出，该公司近年来发现了“数百个”诈骗加密钱包。“这是一场持续的猫鼠游戏，”Wagner说，因为恶意软件开发者试图“绕过我们的检测方法。”

Decrypt已联系Mozilla，如果他们回复，将更新本文。

为了避免成为FoxyWallet或类似诈骗的受害者，建议用户仅从经过验证的发布者下载和安装扩展，将扩展视为完整的软件资产，使用扩展允许列表限制安装仅限于预先批准的、经过验证的扩展，并实施持续监控，而不仅仅是一次性扫描。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。