恶意火狐扩展窃取加密货币钱包的教学文档

1. 事件概述

网络安全研究人员发现40余款针对Mozilla Firefox浏览器的恶意扩展程序，这些程序专门窃取加密货币钱包密钥，使用户数字资产面临风险。攻击活动至少从2025年4月持续至今，最新一批恶意扩展上周仍在上传至火狐扩展商店。

2. 攻击手法分析

2.1 伪装策略

仿冒主流钱包工具：Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet和Filfox等
直接冒用合法钱包工具的名称和标识
伪造数百条五星好评来虚增人气，好评数量远超实际安装量

2.2 技术实现

克隆开源项目的源代码并植入恶意功能
从目标网站提取钱包密钥和助记词
将窃取的数据外泄至远程服务器
收集受害者的外部IP地址

2.3 攻击特点

直接在用户浏览器内部运行
比传统网络钓鱼更难被检测
维持正常的用户体验
低成本高收益的攻击方式

3. 攻击者分析

源代码中包含俄语注释
从C2服务器获取的PDF元数据显示攻击者可能来自俄语国家

4. 防护措施

4.1 官方措施

Mozilla已下架大部分恶意扩展(除MyMonero Wallet外)
Firefox已开发"早期检测系统"，可在诈骗类加密货币钱包扩展流行前进行拦截

4.2 用户防护建议

扩展安装原则
- 仅安装经过验证的发布者提供的扩展程序
- 检查扩展的开发者信誉和历史记录
安装后监控
- 定期检查扩展行为是否发生异常变更
- 注意扩展请求的权限是否合理
安全实践
- 使用硬件钱包存储大量加密货币资产
- 在不同设备上分离浏览和钱包操作
- 定期检查交易记录和钱包活动
技术防护
- 使用专门的浏览器或浏览器配置文件进行加密货币操作
- 考虑使用浏览器沙盒技术隔离高风险扩展

5. 事件响应

如果怀疑已安装恶意扩展：

立即卸载可疑扩展
将资产转移到新的、安全的钱包
更改所有相关账户的密码和密钥
监控钱包活动是否有未经授权的交易
考虑报告给Mozilla和安全研究机构

6. 总结

这种新型攻击方式利用浏览器扩展的信任机制和开源项目的可访问性，通过高度伪装的恶意扩展窃取加密货币资产。由于其在浏览器内部运行的特点，传统安全防护手段难以检测。用户需提高警惕，严格审查浏览器扩展的来源和行为，采取分层防御策略保护数字资产安全。

恶意火狐扩展窃取加密货币钱包的教学文档 1. 事件概述网络安全研究人员发现40余款针对Mozilla Firefox浏览器的恶意扩展程序，这些程序专门窃取加密货币钱包密钥，使用户数字资产面临风险。攻击活动至少从2025年4月持续至今，最新一批恶意扩展上周仍在上传至火狐扩展商店。 2. 攻击手法分析 2.1 伪装策略仿冒主流钱包工具：Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet和Filfox等直接冒用合法钱包工具的名称和标识伪造数百条五星好评来虚增人气，好评数量远超实际安装量 2.2 技术实现克隆开源项目的源代码并植入恶意功能从目标网站提取钱包密钥和助记词将窃取的数据外泄至远程服务器收集受害者的外部IP地址 2.3 攻击特点直接在用户浏览器内部运行比传统网络钓鱼更难被检测维持正常的用户体验低成本高收益的攻击方式 3. 攻击者分析源代码中包含俄语注释从C2服务器获取的PDF元数据显示攻击者可能来自俄语国家 4. 防护措施 4.1 官方措施 Mozilla已下架大部分恶意扩展(除MyMonero Wallet外) Firefox已开发"早期检测系统"，可在诈骗类加密货币钱包扩展流行前进行拦截 4.2 用户防护建议扩展安装原则仅安装经过验证的发布者提供的扩展程序检查扩展的开发者信誉和历史记录安装后监控定期检查扩展行为是否发生异常变更注意扩展请求的权限是否合理安全实践使用硬件钱包存储大量加密货币资产在不同设备上分离浏览和钱包操作定期检查交易记录和钱包活动技术防护使用专门的浏览器或浏览器配置文件进行加密货币操作考虑使用浏览器沙盒技术隔离高风险扩展 5. 事件响应如果怀疑已安装恶意扩展：立即卸载可疑扩展将资产转移到新的、安全的钱包更改所有相关账户的密码和密钥监控钱包活动是否有未经授权的交易考虑报告给Mozilla和安全研究机构 6. 总结这种新型攻击方式利用浏览器扩展的信任机制和开源项目的可访问性，通过高度伪装的恶意扩展窃取加密货币资产。由于其在浏览器内部运行的特点，传统安全防护手段难以检测。用户需提高警惕，严格审查浏览器扩展的来源和行为，采取分层防御策略保护数字资产安全。