Safepal是一種加密貨幣錢包應用程序，能夠安全地持有超過10,000種資產，包括比特幣、以太坊和萊特幣。

　　盡管惡意瀏覽器插件已被下架，但BleepingComputer看到威脅者建立的網絡釣魚網站仍在運行。

　　惡意Firefox附加組件導致了4000美元的損失

　　一位名叫Cali的Mozilla附加組件用戶解釋說：“今天我瀏覽了Mozilla Firefox的add-on插件列表，當時我打算搜索Safepal錢包擴展程序，以在網絡瀏覽器中使用我的加密貨幣錢包。”

　　諸如Cali等的用戶根本不知道自己會面臨什么。在安裝并使用真實的Safepal憑據登錄附加組件幾個小時后，用戶們發現他們的錢包余額降至0美元。

　　該用戶在Mozilla的支持論壇中繼續說道：“我非常震驚……我看到我的最后一筆交易顯示：我的資金中的4,000美元被轉移到另一個錢包。我簡直不敢相信這是部署在Mozilla Firefox插件列表中的一個插件。”

　　BleepingComputer看到的“Safepal Wallet”的附加頁面顯示，該附加組件至少自2021年2月16日起就已上線。

　　在同一頁面上，這個235KB的插件自稱是一個Safepal應用程序，可以安全地“在本地保存私鑰”。此外在頁面上還展示了很多令人信服的產品圖片以及其他一些營銷材料。

　　要在Mozilla的網站上發布附加組件，開發人員必須遵循一定的流程，聲明提交的附加組件“隨時接受Mozilla的審查”。但是，目前尚不清楚Mozilla對提交的附加組件安全性的審查程度。

　　在卡利事件在本月被公開報告后的五天內，Mozilla發言人回應稱他們正在調查。與此同時該頁面已被Mozilla刪除。

　　盡管Safepal在Apple AppStore和Google Play上都有官方智能手機應用程序，但我們不知道是否真的有“Safepal”瀏覽器擴展。

　　值得慶幸的是，在Mozilla插件網站上，一些用戶發布了一星評論，警告其他人不要下載“Safepal Wallet”。

　　但是，對于Cali來說，這些評論似乎來的有點太晚了，收回資金的機會非常渺茫。

　　“我已經和警察談過了，他們對我表示無能為力。他們告訴我無法追蹤黑客，留給我的唯一解決方案是，也許你們中的一些人可以幫助我找到黑客，從而拿回我錢包里的錢。”

　　“Safepal”網絡釣魚域仍在運行，正在收集恢復短語

　　在調查惡意Firefox附加組件時，BleepingComputer發現了附加組件使用的網絡釣魚域。該網頁（如下所示）也被列為虛假插件主頁上的“支持站點”鏈接：

　　https://safeuslife.com/tool/

　　WHOIS記錄顯示，釣魚網站是在今年1月通過Namecheap注冊的。在撰寫本文時，該網頁仍處于活動狀態，并指示受害者按正確的順序輸入他們的“12字備份短語以配對您的SafePal錢包”。

　　但是，一旦輸入了恢復短語并提交了表單，頁面就會刷新而沒有任何其他的響應。恢復短語將以靜默方式發送給攻擊者。

　　加密貨幣錢包與許多在線服務一樣，使用由12個隨機生成的單詞組成的備份短語，如果用戶忘記密碼，可使用備份短語恢復用戶的私鑰和錢包。但是，恢復短語需要保持很高的機密性，只能在特殊情況下使用，并且只能在服務提供商的受信任應用程序或網站上使用。

　　被盜的恢復短語可以讓攻擊者控制您的錢包，并能夠訪問和轉移資金。

　　最近，加密貨幣騙局越來越多，威脅行為者正在尋找更新的難以檢測的方法來欺騙用戶。就在上周，有人入侵了官方Bitcoin.org網站并成功騙取了訪問者17,000美元。

　　在之前看到的攻擊中，包括npm、PyPI和GitHub在內的開源存儲庫被濫用來傳播加密竊取和加密挖掘惡意軟件。

　　隨著在線平臺上越來越多的威脅行為者出現，用戶在提供安全短語或在線傳輸加密貨幣時應該加倍小心。

　　BleepingComputer已聯系Mozilla和Safepal以獲取進一步的情況，我們正在等待他們的回復。我們也向Namecheap報告了有問題的網絡釣魚域名。