150多个假冒的Mozilla扩展程序——一个后端和付费推广
媒体将150多个虚假Mozilla扩展程序归咎于“俄罗斯熊”。我们的调查结果显示,这些扩展程序源自尼日利亚的基础设施(IP地址:185.208.156.66)和被反复利用的网络钓鱼工具包,并揭示了付费文章如何助长了这一谣言的传播。
具有误导性的叙述
一个关于……的故事 “150多个假冒的Mozilla扩展程序” 与所谓“俄罗斯线索”相关的报道在各大加密货币和安全媒体上被大肆渲染。这听起来很耸人听闻,但我们的分析表明,这种说法具有误导性——更糟糕的是, 这为真正的肇事者提供了庇护.
单个后端上存在150多个低质量扩展
该活动中的所有扩展名均为:
- 缺乏原创性,纯复制粘贴。
- 只有标志和名称有所不同。
- 所有这些都连接到一个 单一后端.
185.208.156.66后端域名是
alladdsite[.]digital/app.php. 与该IP地址相关的大多数域名现已失效,但Urlscan和WebArchive保存了这些域名的存档快照。 我们针对此次活动的举措
作为一家专注于打击网络钓鱼和诈骗基础设施的独立威胁情报机构,我们:
- 直接向 Mozilla 提交报告,以举报恶意扩展程序。
- 已上报至 印章,请求专业协助以加快禁令的实施。
- 在Chainabuse上发布了一份报告,以提高社区的知晓度。
- 向攻击者的后端注入了数百万条空的助记词,以污染被盗数据。
为什么这不算“俄罗斯”基础设施
讲俄语的威胁行为者通常会使用:
- 分布式后端(Cloudflare Workers、Firebase、亚马逊、每个营销活动专属链接)。
- 采用混淆和冗余设计以避免单点故障。
相反,这次活动表明:
- A 尼日利亚主机服务商.
- 与银行诈骗、虚假加密货币钱包以及虚假快递诈骗有关的邻近域名。
- 一个Telegram账号接收到了与某事件相关的被盗数据,该账号与 尼日利亚运营商.
付费媒体的问题
付费媒体投放会带来严重后果:
- 一篇刊登在知名媒体上的付费文章得以发表。
- 数百个小型网站、博客和Telegram频道对其进行了改写或翻译。
- 短短几天内,这便演变成一个看似可信的巨大虚假叙事。
示例:安吉尔·德雷纳
各大媒体都以头条报道了 “在开发者身份确认后,‘Angel Drainer’已被关闭。” 但这究竟是真的——还是又一篇被反复转载直到看似可信的付费推广文章?对犯罪分子来说,购买文章不过是九牛一毛;对受害者而言,却足以改变一切。
网络安全公司自掏腰包做公关
网络安全公司愿意支付数万美元,以换取关于自身、其研究及其影响的文章。这引发了一些根本性问题:
- 为什么一家真正的网络安全公司需要付费购买保险?
- 他们是在试图掩盖真正黑客的行踪吗?
- 还是利用黑客的身份进行敲诈勒索或获取竞争优势?
- 其目的是为了增强信任——还是为了牟利而操纵公众认知?
市场的证据
这种做法并非隐秘:
- 在Fiverr、Upwork以及专业的公关平台上,你可以直接购买“客座文章”。
- 供应商会发送包含数十家销售网点及价格的谷歌表格——其中包括一些知名的网络安全品牌。
- 有人承诺:“只要额外付费,就不会出现赞助商标签。”
购买文章的明确目标包括:
- 链接建设(SEO)。
- 流量与销售。
- 品牌知名度。
- 声誉管理(压制负面信息)。
- 社交认证。
- 签证申请所需文件清单。
提到的费用包括…… $20,000 以获取主流加密货币媒体的付费采访名额。
商业与谎言
发布付费内容并不违法——这只是商业行为。但当它越界到 发布虚假言论、误导调查,并将公关宣传伪装成事实, 它就成了问题的一部分。
结论
PhishDestroy 是一个独立的网络安全项目,不收取任何费用、不销售广告,也不以营利为目的。事实很清楚:
- 150多个Mozilla扩展程序被路由到位于尼日利亚的一台后端服务器上。
- 数据被发送到一个尼日利亚的Telegram账号。
- “俄罗斯线索”这一说法纯属捏造。
- 付费媒体的报道不断放大这一捏造,直到它看起来像真的一样。
- 就连网络安全公司自己也会为自我宣传买单。
免责声明
我们并未指责任何个人、公司或媒体机构。所有事实均来自公开渠道,可通过公共档案、扫描件和报告进行核实。真正的问题是: 为什么此类叙事会被操控和放大?当一家名不见经传的安全公司发布一篇不准确的“重磅调查报告”,从而将公众注意力从真正的幕后黑手身上转移开时,谁从中获益?



