金色財經
一款偽裝成谷歌記事工具的惡意瀏覽器擴展程序被發現,其通過攔截加密貨幣交易並將資金轉入攻擊者控制的錢包——受害者在資金被盜前對此毫不知情。 麥卡菲(McAfee)高級威脅研究團隊的研究人員於2026年6月30日發布了調查結果,詳細描述了一項結合了社會工程學、隱蔽安裝技術以及基於區塊鏈的遠程控制手段的攻擊活動,該活動堪稱今年技術層級最為複雜的加密貨幣盜竊行動之一。
該擴展程序偽裝成「Google Notes」 —— 一個簡單、不起眼的工具,與大多數瀏覽器用戶會不假思索安裝的實用軟體毫無二致。但其實際功能卻截然不同。 一旦激活,它就會實時監控用戶的剪貼板,密切關注是否有人複製加密貨幣錢包地址。一旦檢測到相關地址,它便會將其替換為攻擊者控制的地址——這一過程悄無聲息、瞬間完成,且發生在用戶將其粘貼到支付字段之前。
該攻擊利用了人們處理加密貨幣交易時最可靠的盲點之一。 大多數用戶只是複製錢包地址、粘貼並發送——極少會停下來核對所粘貼的字符串是否與複製的地址一致。由於絕大多數加密貨幣轉賬都是不可逆的,一次成功的地址替換就可能導致永久且無法挽回的損失。
在網路安全領域,這屬於「剪貼板劫持」惡意軟體——一種專門設計用於攔截剪貼板內容並將其替換為攻擊者控制的數據的攻擊類型。 通過瀏覽器擴展程序傳播該惡意軟體,使攻擊者能夠在瀏覽器環境中長期駐留——而大多數加密貨幣交易正是從該環境發起。
McAfee 報告中最明顯的警告信號之一就是該擴展程序請求的權限。 對於一款筆記工具而言,它所請求的訪問權限明顯過於廣泛:所有網站、完整的瀏覽歷史記錄以及剪貼板訪問權限。沒有任何合法的筆記應用程序需要查看用戶訪問過的每個網站,或訪問其完整的瀏覽歷史記錄。 這些權限的存在是為了服務於該擴展程序的實際目的——監控和攔截——而非其宣傳的目的。
該擴展程序並未依賴標準瀏覽器商店的安裝流程——該流程會對提交內容進行審核,且擴展程序必須滿足最低信任標準。 相反,它使用未經簽名的安裝程序直接修改瀏覽器首選項文件,從而使其能夠像受信任的擴展程序一樣加載,而無需經過正常的審批流程。
Chrome 和 Edge 的更新版本可能仍需要啟用開發者模式才能運行未簽名的擴展程序,但基於 Chromium 的舊版瀏覽器——包括各種 Google Chrome 衍生版本、Brave 以及 Microsoft Edge 的構建版本——則更容易受到攻擊。 還觀察到,該攻擊活動的幕後操縱者試圖通過社會工程學手段誘使用戶自行啟用開發者模式,從而消除安裝過程中的最後一道屏障。
此次攻擊活動在技術上最值得注意的一點,或許在於其營運者如何在未將固定的命令與控制服務器硬編碼到擴展程序本身的情況下,仍能維持對惡意軟體的控制。 相反,該擴展程序會查詢公共區塊鏈智能合約,以動態獲取其當前的後端域名。在 McAfee 的分析過程中,記錄到了包括 devops-offensive.cc 和 Zebregts.com 在內的多個域名。
這種做法是蓄意規避檢測的。 傳統惡意軟體基礎設施可以通過關閉命令服務器或封鎖已知域名來破壞。通過將控制權路由到公共區塊鏈——該區塊鏈不可篡改且無法被關閉——營運者確保即使個別域名被封鎖或查封,其基礎設施仍可訪問。此外,由於代碼中未嵌入固定的服務器地址,這也使得該擴展程序更難進行靜態分析。
該擴展程序還會將截獲的錢包地址與攻擊者控制的唯一錢包進行匹配,而不是將所有被盜資金都轉入單一地址。 這種設計使得簡單的錢包黑名單作為防禦措施的效果大打折扣。
攻擊目標是誰
McAfee的遙測數據顯示,感染情況遍及多個地區,其中印度的受影響用戶數量遠高於其他地區。 研究人員將此次攻擊活動定性為「機會主義」而非「針對特定地理區域」——其傳播範圍反映了消費者用戶中加密貨幣採用率最高的地區,而非刻意針對任何一個國家。
已確認發生錢包地址欺詐的加密貨幣包括比特幣、以太坊、比特幣現金、 瑞波幣和達世幣——涵蓋了交易最廣泛的資產,這表明攻擊者正試圖撒下儘可能大的網。
應對這種特定攻擊最可靠的防禦措施是手動驗證地址。 在批准任何加密貨幣轉賬之前,請將收款方錢包地址的前六位和後六位字符與原始來源進行比對——最好是在未運行同一瀏覽器的另一台設備上進行。 這種比對能挫敗攻擊:被調換的地址將無法匹配。
除此之外, McAfee建議僅從官方應用商店安裝瀏覽器擴展程序,定期檢查已安裝的擴展程序並移除任何不認識或不記得安裝過的項目,在授予權限前仔細審查,避免從非官方渠道下載未簽名的軟體,並確保設備安全軟體處於啟用狀態且保持最新版本。
更廣泛的教訓適用於所有基於瀏覽器的威脅:無論品牌看起來多麼正規,那些請求的權限與其聲明用途不符的擴展程序都是一個重要的危險信號。 「Google Notes」並非谷歌的產品。該名稱旨在借用其從未贏得過的信任。
來源
McAfee 高級威脅研究報告,發布於 2026 年 6 月 30 日。 技術細節和遙測數據源自McAfee Labs部落格。原始報導由Hackread.com發布。錢包地址驗證建議及防護建議摘自McAfee發布的指南。
來源:金色財經
發佈者對本文章的內容承擔全部責任
在投資加密貨幣前,請務必深入研究,理解相關風險,並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。
暢行幣圈交易全攻略,專家駐群實戰交流
▌立即加入鉅亨買幣實戰交流 LINE 社群(點此入群)
不管是新手發問,還是老手交流,只要你想參與加密貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資,都歡迎入群討論學習!
上一篇
下一篇