【安全圈】Firefox 插件“Safepal 钱包”窃取加密货币

一个名为“ Safepal Wallet”的恶意Firefox插件，欺骗用户，窃取钱包余额，并在Mozilla插件网站上存在了7个月才被发现。

尽管恶意的浏览器插件已经被关闭，BleepingComputer 发现威胁者建立的钓鱼网站仍在运行。

一位名为Cali的Mozilla插件用户解释说:“今天我浏览了Mozilla Firefox的插件列表，我正在搜索 Safepal 钱包扩展，以便在web浏览器中我也可以使用加密货币钱包。”

在使用 Safepal 证书安装并登录该插件数小时后，Cali发现自己的钱包余额清空了。

“我深深地震惊了……我看到了我最后的交易记录，发现我的4000美元资金被转移到了另一个钱包。我不敢相信这是一个在Mozilla Firefox插件列表中的插件，”他在Mozilla的论坛中说道。

BleepingComputer 从“ Safepal 钱包”的附加页面发现，该插件至少从2021年2月16日起就开始使用了。

页面上，这个235kb的插件吹嘘自己是一个 Safepal 应用程序，可以安全地“在本地保存私钥”，还有令人信服的产品图片和营销材料。

为了在Mozilla网站上发布插件，开发者必须遵循提交流程，即提交的插件“随时接受Mozilla的审查”。但是，目前还不清楚提交的文件的安全程度。

Cali本月公开报道此事不到五天，Mozilla的发言人回应说，他们正在进行调查。该插件的介绍页面已被Mozilla删除。

虽然 Safepal在苹果应用商店和谷歌Play上都有官方智能手机应用，但我们并不知道是否有官方的“ Safepal ”浏览器扩展。

幸运的是，在Mozilla插件网站上，一些用户发布了一星评论，警告其他人不要下载“ Safepal Wallet”。

但是，对于Cali来说，一切为时已晚，收回资金的机会很渺茫。

“我已经和警察谈过了，他们对此无能为力。他们告诉我无法追踪到黑客。”Cali说。

BleepingComputer 联系Mozilla了解更多关于这个问题的信息:

Mozilla的一位发言人告诉 BleepingComputer :“扩展安全对Mozilla来说很重要，我们的生态系统持续对千变万化的威胁做出回应。”

“我们目前的重点是减少恶意扩展可能造成的损害，引导用户使用我们审查和监控的推荐扩展，帮助用户了解安装扩展带来的风险，让用户更容易地向我们反馈潜在的恶意扩展。”

“根据我们的插件政策，当我们发现到插件会对安全和隐私造成威胁时，我们会采取措施阻止它们在Firefox中运行。关于这个插件，我们采取行动阻止其运行并从Firefox插件商店中删除了它。”

在调查恶意的火狐插件时，BleepingComputer 发现了插件使用的钓鱼域。

WHOIS 记录显示，该钓鱼网站是在今年1月通过 Namecheap 注册的。在写这篇文章的时候，这个网页仍然在运营，它指示受害者输入他们的“12个单词的备份短语，用于匹配 SafePal 钱包。”

但是，一旦输入了备份短语并提交了表单，页面就会刷新，但没有任何明显的响应，备份短语却已悄无声息地发送给攻击者。

加密货币钱包和许多在线服务一样，如果用户忘记密码，由12个随机生成的单词组成的备份短语便可以用来恢复用户的私钥和钱包。但是，备份短语十分重要且私密，只能在特殊情况下使用，而且只能在服务提供商可信的应用程序或网站上使用。

备份短语如果被盗，攻击者可以控制你的钱包，以及访问和转移资金。

最近，加密货币诈骗正在增多，威胁者正在寻找更新的、难以检测的方法来欺骗用户。就在上周，有人入侵了Bitcoin.org官方网站，成功地骗走了1.7万美元的访问者。

在之前的攻击中，包括npm、PyPI和GitHub在内的开源库被滥用，用以传播加密窃取和加密挖掘恶意软件。

随着网络平台上威胁者的日益增多，用户在提供安全密码或在线转移加密货币时应谨慎。

BleepingComputer 已经联系了 Mozilla 和 Safepal 寻求进一步的回应，同时向 Namecheap 报告了钓鱼域名。