在现代网络环境中，安全性变得无比重要，尤其是当我们谈论到数字货币时。最近，一项调查揭示了49个恶意的Chrome扩展，它们化身为虚假的加密货币钱包，试图窃取用户的私钥和助记词，并最终导致用户的真实数字钱包被清空。这些恶意扩展让人深感警惕。

在2020年4月16日，MyCrypto——一个开源的区块链界面，用于存储、发送和接收加密货币的工具，联手PhishFort，一个专注于反钓鱼保护的公司，揭露了这一案件。研究人员发现这些恶意扩展，其目标不再局限于一般的浏览器用户，它们主要针对像Ledger、Trezor、Jaxx、Electrum、MyEtherWallet、MetaMask、Exodus、和KeepKey等流行的加密钱包。

MyCrypto的安全主管Harry Denley表示，这些恶意扩展实际上是在“钓鱼秘密”，包括用户的助记词、私钥和密钥存储文件，这些都是保护用户资产的重要信息。当用户将这些信息输入时，恶意扩展会向一个后端发送HTTP POST请求，从而窃取到用户的秘密，然后用于清空用户的数字钱包。

通过对受害系统的数据进行分析，MyCrypto发现了14个独特的命令与控制服务器（C2s），这些服务器似乎都是由同一批恶意行为者控制的。大部分的伪造域名都是在2020年3月和4月新注册的，而最古老的一个域名ledger.productions则与其他服务器有较强的关联性，这一现象表明这些服务器可能使用了相同的后端或由相同的行为者操作。甚至有研究显示，这些恶意活动可能与俄罗斯有某种联系，因为其中一个管理员的电子邮件后缀是“r.ru”。

这些恶意扩展的工作原理是模仿正常的MyEtherWallet体验。当用户输入他们的秘密信息后，恶意应用程序把这些信息发送回C2服务器，然后将用户引导回默认界面，接着就没有任何动静。这种行为不仅让用户感到沮丧，更可能造成两种后果：要么用户再次输入信息，要么用户选择卸载扩展，但直到他们的钱包被清空为止，根本无法查明安全隐患。

此外，这些支离破碎的扩展常常通过虚假的网络评论来提升自己的评分，有的甚至通过联系人发布相同的仿制好评，以增加可信度。这种情景引起了行业的广泛关注，特别是在恶意扩展从Chrome商店被删除的24小时内，这一问题得到迅速处理。

在不久前的2月，Google还曾经突然下架了500个Chrome扩展，因为研究人员发现它们在窃取浏览数据、进行点击欺诈和传播恶意广告。这些扩展在数百万用户的计算机上安装了自己的软件。因此，我们的建议是，不要简单地认为只要是来自官方商店的扩展就一定安全。实际上，这些窃取加密货币的恶意扩展只是众多类似案例中的一部分。

最好的建议是：尽量安装尽可能少的扩展，且不论如何都仅从官方商店获取。同时，对扩展的用户评价和反馈进行认真的检查，关注开发者的声誉、他们对问题的回应速度以及版本更新的频率。此外，值得注意的是，查看扩展请求的权限（在Chrome中， settings > Extensions > Details），确保其与扩展的功能一致，若权限发生了变化则要保持警惕。

Denley还提供了其他一些实用的建议，比如考虑创建一个单独的浏览器用户，只用于加密货币数据，以限制攻击面，并将个人和加密货币的资料分离，以提高与加密货币相关资料的隐私保护。只有通过谨慎和智谋，我们才能在这个充满风险的网络世界中保护我们的财富。

以上信息的披露，无疑为保护我们的数字资产提供了重要的警示，大家应保持警觉，确保自身在网络空间的安全。增强自己对网络安全的认识和警惕，才能更好地防范潜在的风险和陷阱。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课