GreedyBear的武器化浏览器扩展如何在加密资产中被侵占超过$1M

一场复杂的网络犯罪行动已被Koi Security的研究人员揭露，显示由俄罗斯威胁团体GreedyBear策划的广泛行动。在截至8月的五周期间，攻击者通过多层次的攻击基础设施成功抽取了超过$1 百万的加密货币。

武器库：150个浏览器扩展和500多个恶意文件

此次行动的规模令人震惊。GreedyBear部署了150个被武器化的Firefox扩展，分布在数十个旨在模仿合法平台的欺骗性网站上。同时，黑客利用近500个上传到俄罗斯软件仓库的恶意Windows可执行文件，从支持基础设施中窃取代币，这些仓库托管盗版和重打包的应用程序。根据Koi Security的CTO Idan Dardikman的说法，以Firefox为基础的攻击手段被证明是最赚钱的途径，带来了大部分$1 百万的战利品。

钱包伪装技术

主要手段是创建流行加密货币钱包的假冒版本。黑客针对MetaMask、Exodus、Rabby Wallet和TronLink——这些在加密生态系统中最常用的自托管解决方案。

攻击者采用了一种名为“扩展空壳化（Extension Hollowing）”的复杂技术，以规避市场安全审查。该过程分为几个阶段：首先，他们向官方商店提交看似合法的扩展版本，经过初步审查通过。一旦获得批准，应用程序就会收到包含恶意代码的增量更新，而这些更新未被自动检测系统发现。为了增强可信度，威胁行为者伪造了积极的用户评论，营造出可信的假象，鼓励用户下载。

凭证窃取及其他

一旦毫无戒心的用户安装了受感染的扩展，恶意软件立即开始收集钱包凭证和私钥。这些被窃取的访问凭证成为“王国的钥匙”——攻击者随后利用它们从受感染的钱包中提取加密货币。

除了基于浏览器的攻击外，在俄罗斯软件镜像站分发的恶意可执行文件还作为更广泛工具包的载体，包括凭证窃取器、勒索软件和各种特洛伊木马变体。这种多样化的方法确保了多条路径可以入侵目标系统并提取敏感数据。

该行动凸显了安全链中的一个关键漏洞：用户对官方外观扩展的信任，以及威胁行为者利用合法软件分发渠道的更新机制的相对容易性。