恶意Firefox插件“Safepal Wallet”窃取了加密货币

Safepal是一种加密货币钱包应用程序，能够安全地持有超过10,000种资产，包括比特币、以太坊和莱特币。

尽管恶意浏览器插件已被下架，但BleepingComputer看到威胁者建立的网络钓鱼网站仍在运行。

恶意Firefox附加组件导致了4000美元的损失

一位名叫Cali的Mozilla附加组件用户解释说：“今天我浏览了Mozilla Firefox的add-on插件列表，当时我打算搜索Safepal钱包扩展程序，以在网络浏览器中使用我的加密货币钱包。”

诸如Cali等的用户根本不知道自己会面临什么。在安装并使用真实的Safepal凭据登录附加组件几个小时后，用户们发现他们的钱包余额降至0美元。

该用户在Mozilla的支持论坛中继续说道：“我非常震惊......我看到我的最后一笔交易显示：我的资金中的4,000美元被转移到另一个钱包。我简直不敢相信这是部署在Mozilla Firefox插件列表中的一个插件。”

BleepingComputer看到的“Safepal Wallet”的附加页面显示，该附加组件至少自2021年2月16日起就已上线。

在同一页面上，这个235KB的插件自称是一个Safepal应用程序，可以安全地“在本地保存私钥”。此外在页面上还展示了很多令人信服的产品图片以及其他一些营销材料。

要在Mozilla的网站上发布附加组件，开发人员必须遵循一定的流程，声明提交的附加组件“随时接受Mozilla的审查”。但是，目前尚不清楚Mozilla对提交的附加组件安全性的审查程度。

在卡利事件在本月被公开报告后的五天内，Mozilla发言人回应称他们正在调查。与此同时该页面已被Mozilla删除。

尽管Safepal在Apple AppStore和Google Play上都有官方智能手机应用程序，但我们不知道是否真的有“Safepal”浏览器扩展。

值得庆幸的是，在Mozilla插件网站上，一些用户发布了一星评论，警告其他人不要下载“Safepal Wallet”。

但是，对于Cali来说，这些评论似乎来的有点太晚了，收回资金的机会非常渺茫。

“我已经和警察谈过了，他们对我表示无能为力。他们告诉我无法追踪黑客，留给我的唯一解决方案是，也许你们中的一些人可以帮助我找到黑客，从而拿回我钱包里的钱。”

       “Safepal”网络钓鱼域仍在运行，正在收集恢复短语

在调查恶意Firefox附加组件时，BleepingComputer发现了附加组件使用的网络钓鱼域。该网页（如下所示）也被列为虚假插件主页上的“支持站点”链接：

https://safeuslife.com/tool/

WHOIS记录显示，钓鱼网站是在今年1月通过Namecheap注册的。在撰写本文时，该网页仍处于活动状态，并指示受害者按正确的顺序输入他们的“12字备份短语以配对您的SafePal钱包”。

但是，一旦输入了恢复短语并提交了表单，页面就会刷新而没有任何其他的响应。恢复短语将以静默方式发送给攻击者。

加密货币钱包与许多在线服务一样，使用由12个随机生成的单词组成的备份短语，如果用户忘记密码，可使用备份短语恢复用户的私钥和钱包。但是，恢复短语需要保持很高的机密性，只能在特殊情况下使用，并且只能在服务提供商的受信任应用程序或网站上使用。

被盗的恢复短语可以让攻击者控制您的钱包，并能够访问和转移资金。

最近，加密货币骗局越来越多，威胁行为者正在寻找更新的难以检测的方法来欺骗用户。就在上周，有人入侵了官方Bitcoin.org网站并成功骗取了访问者17,000美元。

在之前看到的攻击中，包括npm、PyPI和GitHub在内的开源存储库被滥用来传播加密窃取和加密挖掘恶意软件。

随着在线平台上越来越多的威胁行为者出现，用户在提供安全短语或在线传输加密货币时应该加倍小心。

BleepingComputer已联系Mozilla和Safepal以获取进一步的情况，我们正在等待他们的回复。我们也向Namecheap报告了有问题的网络钓鱼域名。

参考及来源：https://www.bleepingcomputer.com/news/security/malicious-safepal-wallet-firefox-add-on-stole-cryptocurrency/