火狐插件商店现大量假钱包扩展，Koi警告俄语黑客窃取助记词

安全公司 Koi 近日发布警告称，Mozilla Firefox 浏览器官方插件商店近期被曝出现大规模假冒加密钱包扩展程序，涉及数量超过 40 个。这些恶意扩展伪装成包括 MetaMask、Coinbase Wallet 在内的知名加密钱包，其真正目的则是窃取用户的助记词和敏感私密信息。根据 Koi 的调查，这一恶意活动最早可追溯至 2025 年 4 月，并持续至今，幕后操作者疑似为一个俄语黑客团伙。

这些假冒插件的攻击手法具有高度隐蔽性。Koi 的分析显示，相关扩展在表面上功能正常，甚至连用户界面都与官方版本几乎无异。然而，其背后被植入了专门监听用户输入事件的恶意代码，能够检测输入长度超过 30 个字符的内容，并将其自动捕获并上传至远程服务器。考虑到大部分加密钱包助记词的输入格式通常为 12 至 24 个英文单词，总长度通常超过 30 字符，这种设定显然是有针对性地进行信息窃取。

此次攻击事件的严重性在于其发生在“官方渠道”之中。Mozilla Firefox 插件商店一向被视为安全的扩展来源，但此次事件表明，黑客正在绕过或伪装通过初步审核机制，将恶意插件伪装成正规钱包工具，以获取用户的信任与权限。这种“供应链式钓鱼”攻击不仅具备规模化潜力，还可能借助浏览器生态迅速传播，进一步扩大影响范围。

更值得警惕的是，这一事件不仅危及普通加密用户，也可能影响专业交易者、项目方成员甚至机构钱包持有人。一旦助记词被盗，钱包即被完全控制，资金将不可逆地被转移，严重者甚至可能造成项目金库被洗劫、NFT 资产被清空等重大损失。

Koi 安全团队还指出，分析数据流向与相关服务器域名后，发现该攻击链条与过去曾出现在乌克兰与东欧的黑客行动存在技术与语言层面的相似之处，因此初步怀疑该行动由一个俄语背景的网络犯罪组织主导。该组织疑似通过广泛部署假钱包插件，打造分布式钓鱼网络，并在多个加密社区中活跃。

目前，Mozilla 尚未对该事件做出详细回应，但用户已被敦促尽快检查浏览器已安装插件是否存在可疑钱包名称，并优先通过项目方官网链接安装扩展程序。同时，Koi 建议用户启用双重验证、避免在公共浏览器环境下输入助记词、并定期审查钱包使用记录，以防资产被盗。

此次事件再次提醒加密用户，在依赖浏览器插件进行资产管理时，不能将“官方商店”视作绝对安全的保障。随着加密资产日益普及，浏览器正成为黑客攻击的新战场，而用户安全意识与项目安全教育，也需随之同步升级。未来，加强插件审核机制、引入扩展签名验证机制等或将成为浏览器安全生态的重要发展方向。