駭客集團 GreedyBear 偽裝加密錢包擴充功能　已竊逾 100 萬美元資產

根據 Koi Security 近日（24 日）發布的報告指出，一個名為「GreedyBear」的駭客組織近期展開大規模的犯罪行動，專門鎖定使用加密貨幣錢包的用戶進行攻擊。該組織透過「瀏覽器擴充功能」、惡意軟體與釣魚網站等多重手法，迄今已竊取超過 100 萬美元（約新台幣 1,390 萬元）等值的加密資產。

根據 Koi Security 資深研究員 Tuval Admoni 的說法，GreedyBear 的攻擊手段與傳統駭客不同，他們整合多種工具與技術，設計出可規模化運作的「產業化加密貨幣盜竊模式」。他指出，「大多數駭客組織通常只專注於某一領域，例如惡意擴充套件、勒索軟體或釣魚網站，但 GreedyBear 卻把所有方式結合起來，達到更高的攻擊效率。」他並警告，該集團已非一般小型駭客，未來恐怕仍會持續升級技術與攻擊規模。

本次攻擊行動的核心手段，是透過偽裝為知名錢包的瀏覽器擴充功能，竊取錢包登入憑證。報告指出，GreedyBear 至今已將超過 150 個惡意瀏覽器擴充功能上架至 Firefox Marketplace，這些擴充功能看似為 MetaMask、TronLink、Exodus、Rabby Wallet 等常見錢包工具，但實際上含有惡意程式碼。該組織利用一種名為「擴充功能偽裝（Extension Hollowing）」的手法，先在初期通過審核流程後，再悄悄替換內容植入惡意功能。

Admoni 解釋道，這種攻擊方式利用擴充功能市集的審核漏洞，使原本看似正常的應用程式在用戶取得信任後變更為有害版本；這類擴充功能甚至能直接在錢包輸入介面中擷取登入資訊，危害極大。

另外，資安公司 Cyvers 執行長 Deddy Lavid 也對此發表看法。他指出，這波攻擊是在「利用用戶對瀏覽器市集的信任」施展詐術，駭客透過複製錢包外掛、填充虛假評論提高評價，再藉機導入能竊取憑證的惡意模組，實屬「有系統地利用用戶信任」的典型案例。

資安專家普遍呼籲，加密貨幣用戶應提高警覺，只從「官方網站」下載應用程式，並仔細查核擴充功能的評論與開發者資料。隨著類似攻擊日益頻繁，專家強調「資產安全意識提升刻不容緩」，否則信任將持續成為資安攻擊的最大漏洞。

評論：

這波由 GreedyBear 主導的攻擊行動，不僅展現駭客集團的組織化與技術升級，更反映出當前擴充功能平台在審查與風控上的不足。隨著加密資產逐漸主流化，使用者應加強「自我防衛能力」，才能在高度數位化的資產環境中保護自身資安。