GreedyBear扩大攻击规模：150个恶意Firefox扩展窃取超百万美元加密资产

近期，俄罗斯黑客组织 GreedyBear 扩大了其网络攻击规模，引发加密资产安全领域高度关注。根据 Koi Security 的研究，该组织在过去五周内部署了150个“武器化的 Firefox 扩展程序”，配合近500个恶意可执行文件及数十个网络钓鱼网站，成功实施大规模加密货币盗窃，涉案金额超过100万美元。 H2: 攻击核心：伪造热门钱包扩展程序 GreedyBear 的主要攻击手段是创建 MetaMask、Exodus、Rabby Wallet 和 TronLink 等主流加密钱包的伪造版本。这些恶意扩展程序通过“Extension Hollowing”技术绕过平台审核机制——先上传看似无害的合法扩展，随后远程更新为含恶意代码的版本。这种手法使得攻击更具隐蔽性，极易误导用户安装。 H2: 营销策略：虚假评论提升可信度 为增强伪装效果，攻击者还大量发布虚假正面评价，营造高评分假象，诱导用户下载。这一行为表明其具备系统化运营能力，已形成“伪信任链”以提高渗透率。 H2: 多元攻击路径协同作战 除了浏览器扩展，该组织同时分发近500个恶意 Windows 可执行文件，植入于俄罗斯盗版软件网站，包含凭证窃取器、勒索软件和木马程序。此外，数十个网络钓鱼网站伪装成数字钱包服务、硬件设备销售或维修平台，诱骗用户输入私钥、助记词等敏感信息。 H2: 集中化控制暴露团伙特征 Koi Security 发现，几乎所有攻击域名均指向同一 IP 地址：185.208.156.66。该地址充当信息收集与命令协调中枢，显示出高度集中的控制结构。首席技术官 Idan Dardikman 指出，这种单一节点架构更符合有组织犯罪集团特征，而非国家支持行动，后者通常采用分布式基础设施规避风险。 H2: 用户应采取的防御措施 针对此类威胁，Dardikman 提出多项防范建议：仅安装来自经过验证开发商的扩展程序；避免访问盗版软件网站；优先使用官方发布的钱包应用，而非依赖浏览器插件；对长期持有大量资产的用户，强烈推荐使用硬件钱包，并确保从制造商官网购买，防止遭遇仿冒站点。 目前，市场对这类安全事件的反应正推动行业加强前端审核机制与用户教育。随着加密资产价值持续攀升，此类针对性攻击或将常态化。投资者需警惕“看似便捷”的工具背后潜藏的风险，将安全置于便利之前，才是应对当前复杂威胁环境的关键。