跳转至主要内容
Mozilla 假扩展程序调查
调查 • 阅读时间 6—8 分钟

150多个假冒的Mozilla扩展程序——一个后端和付费推广

媒体将150多个虚假Mozilla扩展程序归咎于“俄罗斯熊”。我们的调查结果显示,这些扩展程序源自尼日利亚的基础设施(IP地址:185.208.156.66)和被反复利用的网络钓鱼工具包,并揭示了付费文章如何助长了这一谣言的传播。

最初发布于 Medium — PhishDestroy

具有误导性的叙述

一个关于……的故事 “150多个假冒的Mozilla扩展程序” 与所谓“俄罗斯线索”相关的报道在各大加密货币和安全媒体上被大肆渲染。这听起来很耸人听闻,但我们的分析表明,这种说法具有误导性——更糟糕的是, 这为真正的肇事者提供了庇护.

单个后端上存在150多个低质量扩展

该活动中的所有扩展名均为:

  • 缺乏原创性,纯复制粘贴。
  • 只有标志和名称有所不同。
  • 所有这些都连接到一个 单一后端.
后端 IP: 185.208.156.66
后端域名是 alladdsite[.]digital/app.php. 与该IP地址相关的大多数域名现已失效,但Urlscan和WebArchive保存了这些域名的存档快照。

我们针对此次活动的举措

作为一家专注于打击网络钓鱼和诈骗基础设施的独立威胁情报机构,我们:

  • 直接向 Mozilla 提交报告,以举报恶意扩展程序。
  • 已上报至 印章,请求专业协助以加快禁令的实施。
  • 在Chainabuse上发布了一份报告,以提高社区的知晓度。
  • 向攻击者的后端注入了数百万条空的助记词,以污染被盗数据。

为什么这不算“俄罗斯”基础设施

讲俄语的威胁行为者通常会使用:

  • 分布式后端(Cloudflare Workers、Firebase、亚马逊、每个营销活动专属链接)。
  • 采用混淆和冗余设计以避免单点故障。

相反,这次活动表明:

  • A 尼日利亚主机服务商.
  • 与银行诈骗、虚假加密货币钱包以及虚假快递诈骗有关的邻近域名。
  • 一个Telegram账号接收到了与某事件相关的被盗数据,该账号与 尼日利亚运营商.
“俄罗斯团伙构建了复杂的基础设施。而这套系统成本低廉、集中化且结构简单——这正是我们之前在尼日利亚服务器上见过的样子。”

付费媒体的问题

付费媒体投放会带来严重后果:

  1. 一篇刊登在知名媒体上的付费文章得以发表。
  2. 数百个小型网站、博客和Telegram频道对其进行了改写或翻译。
  3. 短短几天内,这便演变成一个看似可信的巨大虚假叙事。
“受害者看到了‘俄罗斯线索’,认为案件已经结案,便不再向当局报案。真正的罪犯却逍遥法外。”

示例:安吉尔·德雷纳

各大媒体都以头条报道了 “在开发者身份确认后,‘Angel Drainer’已被关闭。” 但这究竟是真的——还是又一篇被反复转载直到看似可信的付费推广文章?对犯罪分子来说,购买文章不过是九牛一毛;对受害者而言,却足以改变一切。

网络安全公司自掏腰包做公关

网络安全公司愿意支付数万美元,以换取关于自身、其研究及其影响的文章。这引发了一些根本性问题:

  • 为什么一家真正的网络安全公司需要付费购买保险?
  • 他们是在试图掩盖真正黑客的行踪吗?
  • 还是利用黑客的身份进行敲诈勒索或获取竞争优势?
  • 其目的是为了增强信任——还是为了牟利而操纵公众认知?
“如果网络安全沦为又一场公关游戏,事实由出价更高的一方来塑造,那么人们对这一领域的信任就会崩溃。”

市场的证据

这种做法并非隐秘:

  • 在Fiverr、Upwork以及专业的公关平台上,你可以直接购买“客座文章”。
  • 供应商会发送包含数十家销售网点及价格的谷歌表格——其中包括一些知名的网络安全品牌。
  • 有人承诺:“只要额外付费,就不会出现赞助商标签。”

购买文章的明确目标包括:

  • 链接建设(SEO)。
  • 流量与销售。
  • 品牌知名度。
  • 声誉管理(压制负面信息)。
  • 社交认证。
  • 签证申请所需文件清单。

提到的费用包括…… $20,000 以获取主流加密货币媒体的付费采访名额。

“这并非新闻业。这是一个市场——在这里,公信力被买卖。”

商业与谎言

发布付费内容并不违法——这只是商业行为。但当它越界到 发布虚假言论、误导调查,并将公关宣传伪装成事实, 它就成了问题的一部分。

结论

PhishDestroy 是一个独立的网络安全项目,不收取任何费用、不销售广告,也不以营利为目的。事实很清楚:

  • 150多个Mozilla扩展程序被路由到位于尼日利亚的一台后端服务器上。
  • 数据被发送到一个尼日利亚的Telegram账号。
  • “俄罗斯线索”这一说法纯属捏造。
  • 付费媒体的报道不断放大这一捏造,直到它看起来像真的一样。
  • 就连网络安全公司自己也会为自我宣传买单。
“出售广告是生意。将谎言当作事实兜售,则是为罪犯提供庇护。而当连网络安全领域都开始兜售虚假叙事时,受害者——以及正义——终将蒙受损失。”

免责声明

我们并未指责任何个人、公司或媒体机构。所有事实均来自公开渠道,可通过公共档案、扫描件和报告进行核实。真正的问题是: 为什么此类叙事会被操控和放大?当一家名不见经传的安全公司发布一篇不准确的“重磅调查报告”,从而将公众注意力从真正的幕后黑手身上转移开时,谁从中获益?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

分享此调查

X / Twitter Telegram Reddit 领英

相关调查

Keitaro TDS:1,500个面板被曝光,零正当用途
调查
Keitaro TDS:1,500个面板被曝光,零正当用途
Steam《BlockBlasters》恶意软件:平台疏忽暴露无遗
调查
Steam《BlockBlasters》恶意软件:平台疏忽暴露无遗
骗子现形:4个诈骗后台系统剖析
调查
骗子现形:4个诈骗后台系统剖析
透明度声明。 PhishDestroy 是一个非商业性的独立项目。我们的研究可能对诈骗基础设施及其相关服务存在固有的偏见。我们鼓励读者以批判性和独立的眼光评估所有内容。 阅读我们的完整透明度声明 →