Firefox惡意擴充程式Safepal Wallet清空了使用者的加密貨幣錢包

有一名暱稱為Cali的Firefox用戶在9月中旬於Mozilla論壇上抱怨，他從Firefox的擴充程式商店下載了Safepal Wallet加密錢包，以在瀏覽器上使用，沒想到Safepal Wallet卻是個網釣錢包，騙走了他的Safepal錢包憑證，並將他存放於錢包中的加密貨幣盜轉一空。

Safepal是個知名的加密貨幣管理平臺，除了製造硬體的加密貨幣錢包之外，也開發了支援Android與iOS的Safepal行動程式，不過，顯然Safepal並未打造瀏覽器擴充程式。

圖片來源_Safepal

BleepingComputer調查，Safepal Wallet是在今年2月登上Firefox擴充程式商店，而根據Safepal Wallet的庫存頁面，至少有4名使用者受害，他們全都指控這是個詐騙程式。

Cali說，當他下載了Safepal Wallet並以Safepal憑證登入時，Safepal Wallet並未正常運作，8個小時之後他透過手機上的Safepal程式檢查餘額，才發現資產已全部被轉移到其它錢包，他不敢相信Firefox沒有審查列在自己商店內的程式。之後Cali還報了警，但警方卻說自己無能為力，無法追蹤駭客的足跡。

Mozilla回應了BleepingComputer，表示當他們得知有惡意擴充程式會危害使用者的安全及隱私時，即會避免這些程式於Firefox上運作，在Cali的案例中，他們則馬上封鎖Safepal Wallet並將它下架。

Mozilla表示，使用者在安裝可能存取隱私或金融資源的軟體時，應該要特別當心，建議使用者要觀察這些軟體是否來自可靠的開發者，檢查該開發者的網站、部落格或社交媒體，以及閱讀其他使用者的評價。