网络安全研究人员发现40余款针对Mozilla Firefox浏览器的余款用户恶意扩展程序 ，这些程序专门窃取加密货币钱包密钥 ，恶意使用户数字资产面临风险 。火狐货币

仿冒主流钱包工具

Koi Security研究员Yuval Ronen表示 ："这些扩展程序伪装成Coinbase、扩展MetaMask、瞄准Trust Wallet 
、加密Phantom 、钱包窃Exodus、资产OKX、余款用户Keplr、亿华云恶意MyMonero 、火狐货币Bitget 、扩展Leap 、瞄准Ethereum Wallet和Filfox等主流平台的加密合法钱包工具。"据悉 ，钱包窃这场大规模攻击活动至少从2025年4月持续至今 ，最新一批恶意扩展上周仍在上传至火狐扩展商店。

伪造好评提升可信度

调查发现，这些恶意扩展通过伪造数百条五星好评来虚增人气，服务器租用其好评数量远超实际安装量 。攻击者采用这种策略制造广泛使用的假象，诱骗用户安装。另一种提升可信度的手段是直接冒用合法钱包工具的名称和标识。

开源项目遭恶意篡改

由于部分正版扩展本身是开源项目，建站模板攻击者得以克隆其源代码并植入恶意功能  ，用于从目标网站提取钱包密钥和助记词 ，并外泄至远程服务器。这些恶意扩展还会收集受害者的外部IP地址。与传统依赖虚假网站或邮件的网络钓鱼不同 ，这些扩展直接在用户浏览器内部运行，使传统终端防护工具更难检测或拦截。

Ronen指出："这种低成本高收益的云计算攻击方式 ，既能维持正常的用户体验 ，又降低了被即时发现的可能性 。"源代码中的俄语注释以及从C2服务器获取的PDF元数据表明
，攻击者可能来自俄语国家 。

防护措施与应对方案

目前除MyMonero Wallet外，香港云服务器所有已识别的恶意扩展均被Mozilla下架。上月 ，该浏览器开发商宣布已开发"早期检测系统"
，可在诈骗类加密货币钱包扩展流行前进行拦截 ，防止其诱骗用户输入凭证窃取资产
 。为降低此类威胁风险，建议仅安装经过验证的发布者提供的扩展程序，源码库并定期检查确保其安装后行为未发生异常变更 。