Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ZH / MOZ FAKE EXTENSIONS PAID MEDIA

150多个假冒的[REDACTED]扩展:一个后端,一个网络

The Enablers Registry·Editorial mirror·/zh/moz-fake-extensions-paid-media

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

调查 • 阅读时间 6—8 分钟

150多个假冒的[REDACTED]扩展程序——一个后端和付费推广

媒体将150多个虚假[REDACTED]扩展程序归咎于“俄罗斯熊”。我们的调查结果显示,这些扩展程序源自尼日利亚的基础设施(IP地址:185.208.156.66)和被反复利用的网络钓鱼工具包,并揭示了付费文章如何助长了这一谣言的传播。

具有误导性的叙述

一个关于……的故事 “150多个假冒的[REDACTED]扩展程序” 与所谓“俄罗斯线索”相关的报道在各大加密货币和安全媒体上被大肆渲染。这听起来很耸人听闻,但我们的分析表明,这种说法具有误导性——更糟糕的是, 这为真正的肇事者提供了庇护.

单个后端上存在150多个低质量扩展

该活动中的所有扩展名均为:

  • 缺乏原创性,纯复制粘贴。
  • 只有标志和名称有所不同。
  • 所有这些都连接到一个 单一后端.
后端 IP: 185.208.156.66
后端域名是 [REDACTED]/app.php. 与该IP地址相关的大多数域名现已失效,但Urlscan和WebArchive保存了这些域名的存档快照。

我们针对此次活动的举措

作为一家专注于打击网络钓鱼和诈骗基础设施的独立威胁情报机构,我们:

  • 直接向 [REDACTED] 提交报告,以举报恶意扩展程序。
  • 已上报至 印章,请求专业协助以加快禁令的实施。
  • 在Chainabuse上发布了一份报告,以提高社区的知晓度。
  • 向攻击者的后端注入了数百万条空的助记词,以污染被盗数据。

为什么这不算“俄罗斯”基础设施

讲俄语的威胁行为者通常会使用:

  • 分布式后端(IANA #1910 Workers、Firebase、亚马逊、每个营销活动专属链接)。
  • 采用混淆和冗余设计以避免单点故障。

相反,这次活动表明:

  • A 尼日利亚主机服务商.
  • 与银行诈骗、虚假加密货币钱包以及虚假快递诈骗有关的邻近域名。
  • 一个[REDACTED]账号接收到了与某事件相关的被盗数据,该账号与 尼日利亚运营商.
“俄罗斯团伙构建了复杂的基础设施。而这套系统成本低廉、集中化且结构简单——这正是我们之前在尼日利亚服务器上见过的样子。”

付费媒体的问题

付费媒体投放会带来严重后果:

  1. 一篇刊登在知名媒体上的付费文章得以发表。
  2. 数百个小型网站、博客和[REDACTED]频道对其进行了改写或翻译。
  3. 短短几天内,这便演变成一个看似可信的巨大虚假叙事。
“受害者看到了‘俄罗斯线索’,认为案件已经结案,便不再向当局报案。真正的罪犯却逍遥法外。”

示例:安吉尔·德雷纳

各大媒体都以头条报道了 “在开发者身份确认后,‘Angel Drainer’已被关闭。” 但这究竟是真的——还是又一篇被反复转载直到看似可信的付费推广文章?对犯罪分子来说,购买文章不过是九牛一毛;对受害者而言,却足以改变一切。

网络安全公司自掏腰包做公关

网络安全公司愿意支付数万美元,以换取关于自身、其研究及其影响的文章。这引发了一些根本性问题:

  • 为什么一家真正的网络安全公司需要付费购买保险?
  • 他们是在试图掩盖真正黑客的行踪吗?
  • 还是利用黑客的身份进行敲诈勒索或获取竞争优势?
  • 其目的是为了增强信任——还是为了牟利而操纵公众认知?
“如果网络安全沦为又一场公关游戏,事实由出价更高的一方来塑造,那么人们对这一领域的信任就会崩溃。”

市场的证据

这种做法并非隐秘:

  • 在Fiverr、Upwork以及专业的公关平台上,你可以直接购买“客座文章”。
  • 供应商会发送包含数十家销售网点及价格的谷歌表格——其中包括一些知名的网络安全品牌。
  • 有人承诺:“只要额外付费,就不会出现赞助商标签。”

购买文章的明确目标包括:

  • 链接建设(SEO)。
  • 流量与销售。
  • 品牌知名度。
  • 声誉管理(压制负面信息)。
  • 社交认证。
  • 签证申请所需文件清单。

提到的费用包括…… $20,000 以获取主流加密货币媒体的付费采访名额。

“这并非新闻业。这是一个市场——在这里,公信力被买卖。”

商业与谎言

发布付费内容并不违法——这只是商业行为。但当它越界到 发布虚假言论、误导调查,并将公关宣传伪装成事实, 它就成了问题的一部分。

结论

THE ENABLERS REGISTRY 是一个独立的网络安全项目,不收取任何费用、不销售广告,也不以营利为目的。事实很清楚:

  • 150多个[REDACTED]扩展程序被路由到位于尼日利亚的一台后端服务器上。
  • 数据被发送到一个尼日利亚的[REDACTED]账号。
  • “俄罗斯线索”这一说法纯属捏造。
  • 付费媒体的报道不断放大这一捏造,直到它看起来像真的一样。
  • 就连网络安全公司自己也会为自我宣传买单。
“出售广告是生意。将谎言当作事实兜售,则是为罪犯提供庇护。而当连网络安全领域都开始兜售虚假叙事时,受害者——以及正义——终将蒙受损失。”

免责声明

我们并未指责任何个人、公司或媒体机构。所有事实均来自公开渠道,可通过公共档案、扫描件和报告进行核实。真正的问题是: 为什么此类叙事会被操控和放大?当一家名不见经传的安全公司发布一篇不准确的“重磅调查报告”,从而将公众注意力从真正的幕后黑手身上转移开时,谁从中获益?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

分享此调查

相关调查

[REDACTED] TDS:1,500个面板被曝光,零正当用途
调查
[REDACTED] TDS:1,500个面板被曝光,零正当用途
[REDACTED]《BlockBlasters》恶意软件:平台疏忽暴露无遗
调查
[REDACTED]《BlockBlasters》恶意软件:平台疏忽暴露无遗
调查
骗子现形:4个诈骗后台系统剖析

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings