安全研究人员发现了一项大规模网络犯罪活动，该活动使用数十个欺诈性 Firefox 浏览器扩展程序来窃取用户的加密货币钱包凭证。 

Koi Security 在周三发布的一份报告中警告称，这一复杂的计划涉及 40 多个恶意扩展，这些扩展伪装成来自流行加密货币平台的合法钱包应用程序。
 

具体来说，这些虚假扩展程序冒充了 Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、Keplr、MyMonero、Bitget、Leap、Ethereum Wallet 和 Filfox 等主流加密货币服务的合法工具。用户安装这些假冒扩展程序后，会秘密收集敏感的钱包信息，从而可能使受害者的加密资产面临被盗的风险。

报告称，此次攻击“仍在持续，而且非常活跃”，部分扩展程序仍然可用。“我们可以确认，该活动至少自2025年4月起就一直活跃，”报告补充道。“就在上周，新的恶意扩展程序被上传到Firefox附加组件商店。上传的持续性表明，该行动仍然活跃、持久且不断发展。”

报告称，为了赢得用户的信任，这些虚假扩展程序利用了评级和评论等机制，其中许多扩展程序拥有数百条虚假的五星评论。

Koi Security 还指出，有迹象表明该攻击活动可能由一个使用俄语的威胁行为者发起，包括恶意扩展程序中的俄语代码注释，以及从该行动中使用的命令与控制服务器上托管的 PDF 文件中恢复的元数据。报告指出：“虽然尚无定论，但这些迹象表明，此次攻击活动可能源自一个使用俄语的威胁行为者组织。”

The Block 已联系 Firefox 背后的组织 Mozilla 征求意见。