GreedyBear的武裝瀏覽器擴展如何在加密持有中造成超過$1M 的損失

一個高級的網路犯罪行動已被Koi Security的研究人員揭露，顯示由俄羅斯威脅團體GreedyBear策劃的廣泛攻擊活動。在截至八月的五週期間，攻擊者成功通過多層次的攻擊基礎設施，抽取超過$1 百萬的加密貨幣。

攻擊工具：150個瀏覽器擴展與500多個惡意檔案

這次行動的規模令人震驚。GreedyBear部署了150個武裝的Firefox擴展，分佈在數十個偽裝成合法平台的欺騙網站上。同時，駭客利用近500個惡意的Windows可執行檔，從俄羅斯軟體庫中竊取支援基礎設施的代幣，這些庫存放著盜版和重新包裝的應用程式。Koi Security的CTO Idan Dardikman表示，基於Firefox的攻擊手法證明是最賺錢的途徑，產生了大部分的$1 百萬獲利。

錢包偽裝技術

主要手法是製作流行加密貨幣錢包的偽造版本。駭客針對MetaMask、Exodus、Rabby Wallet和TronLink——這些在加密生態系中最常用的自我保管解決方案。

攻擊者採用了名為Extension Hollowing的高級技術來規避市場安全審查。這個過程分為幾個階段：首先，他們向官方商店提交一個看似合法的擴展版本，通過初步審核。獲得批准後，該應用會收到包含惡意程式碼的逐步更新，這些惡意程式碼未被自動化系統偵測。為了增加可信度，威脅行為者還偽造了正面用戶評論，營造出可信的假象，促使更多人下載。

資格證竊取及其他

一旦毫無戒心的用戶安裝了被破壞的擴展，惡意軟體立即開始收集錢包憑證和私鑰。這些被竊取的存取憑證成為攻擊者的鑰匙——他們隨後用這些憑證抽走受害者的加密貨幣資產。

除了瀏覽器攻擊外，分佈在俄羅斯軟體鏡像站的惡意可執行檔還作為更廣泛工具包的傳遞機制，包括資格竊取器、勒索軟體和各種木馬變體。這種多元化的方法確保了多條攻擊途徑，能夠入侵目標系統並提取敏感資料。

這次行動凸顯了一個關鍵的安全漏洞：用戶對官方外觀擴展的信任，以及威脅行為者能輕易利用合法軟體分發渠道的更新機制。