据报道,Firefox官方附加组件商店中出现了超过40个假冒的加密货币钱包扩展,这些扩展假装是来自Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr和MyMonero等知名提供商的钱包,以窃取用户的钱包凭证和敏感数据。这些扩展包含恶意代码,将窃取的信息发送到攻击者控制的服务器。
安全公司Koi Security的研究人员发现这些风险扩展,并指出背后是一个讲俄语的威胁团伙。许多浏览器扩展是合法钱包的开源版本的克隆,附加了恶意逻辑。代码中包含的‘输入’和‘点击’事件监听器监控受害者输入的敏感数据。这些代码会过滤超过30个字符的输入字符串,以识别真实的钱包密钥或助记词,并将数据外传给攻击者。
Mozilla已经开发了一套早期检测系统来识别加密骗局扩展,依赖于自动化指标来评估风险等级。一旦达到阈值,人类审查员会分析提交内容,并在确认恶意后进行拦截。