自2025年4月以来，一系列增长中的虚假加密货币钱包扩展程序，统称为“FoxyWallet”，已经进入了Firefox的插件商店。它们伪装成MetaMask、Coinbase、Trust Wallet和Phantom等知名品牌。这些冒名者使用克隆的开源代码并带有恶意负载。结果，用户的种子短语和私钥被攻击者捕获并窃取，很可能是说俄语的威胁组织，从而允许他们从此处窃取加密资产。

自四月以来的联合诈骗

Koi Security 已将超过40个假钱包扩展与这个活动联系起来，指出新版本几乎每周都会出现。这些冒牌货向用户提供了预期的钱包界面，以分散他们提交敏感输入（如通常超过30个字符的助记短语）的注意力，然后将短语与用户的IP一起传输到攻击者服务器。

信任是如何被构建的

该骗局采用多种手段制造虚假合法性：

相同的品牌：他们使用合法的名称和来自真实钱包的标志。

虚假五星好评：虚假的评论数量远远超过真实的安装数量，误导用户。

开源策略：克隆版保持正常功能，但嵌入恶意代码——这是一种低投入、高回报的策略。

结果，用户在浏览界面时看到的是一个安全且评价良好的扩展，而不知道一个无声的攻击者正在收集凭证。

谁在面具后面？

恶意软件分析显示有俄语评论，命令和控制PDF的元数据表明与讲俄语的团体有关。然而，归属仍初步阶段，但多语言痕迹表明这可能是一个更协调的努力。

Mozilla的防御措施

6月3日，Mozilla 实施了一项新的“早期检测”防御措施，将风险评分分配给附加组件，并标记可疑提交供人工审核。这一措施导致许多违规扩展被移除，但截至7月初，至少还有七个仍在商店中存在。

Mozilla 的一位发言人确认，公司继续改进其系统，并在识别出恶意扩展后迅速将其移除。

更广泛的影响：超越浏览器诈骗

FoxyWallet 丑闻只是加密货币欺诈现象的一个方面。硬件钱包诈骗、假的 Ledger Live 仿冒品以及通过 USPS 发送 QR 码信件的物理网络钓鱼活动也是新兴威胁。仅在 2025 年上半年，钱包漏洞就造成了超过 17 亿美元的损失。

保持安全：实用建议

捆绑应用：扩展、附加组件或应用通常会与您正在安装的软件捆绑在一起。应谨慎操作，因为您可能会安装其他潜在的不希望安装的软件。

为了保护您免受这些威胁，专家建议：

检查出版商身份：从发布的钱包网站下载，而不是从搜索引擎下载。

监控评分和安装次数：评分高但安装次数不多？评分和安装次数之间的差异可能会非常具有误导性。

仔细检查开源克隆：一个合法的扩展是克隆并不意味着它是安全的——它必须来自可验证的来源。

将浏览器扩展视为重要的软件资产：对浏览器扩展应用策略、白名单和持续审查——就像手机或桌面设备上的应用程序一样。

最终意见

FoxyWallet勒索软件的余烬强烈提醒我们，即使像Firefox这样的可信平台也可能被攻破。浏览器加密访问提供的便利性伴随着固有的风险，一旦攻击者获得你的种子短语，几乎无法逆转局势。虽然在被黑客攻击的世界中，谨慎使用扩展程序并保持警惕，通过可验证来源进行防御，是你在黑客可以轻松模仿合法性的环境中最大的防御。