Nowy malware ModStealer kradnie klucze kryptowalutowe na wszystkich systemach

• Złośliwe oprogramowanie ModStealer kradnie dane portfeli kryptowalutowych na systemach macOS, Windows i Linux.
• Rozprzestrzenia się głównie poprzez fałszywe ogłoszenia rekrutacyjne wykorzystujące niewykrywalne zadania w kodzie JavaScript.
• Badacze ostrzegają, że narzędzia antywirusowe nie wykrywają tego malware, co podkreśla potrzebę nowych metod obrony.

Nowo odkryte złośliwe oprogramowanie o nazwie ModStealer atakuje użytkowników kryptowalut na systemach macOS, Windows i Linux, zagrażając portfelom oraz danym dostępowym. Firma Mosyle, skoncentrowana na bezpieczeństwie Apple, wykryła ten wariant po tym, jak przez prawie miesiąc pozostawał niewykryty przez główne silniki antywirusowe. Według źródeł, malware zostało przesłane do VirusTotal, internetowej platformy sprawdzającej pliki pod kątem złośliwej zawartości.

Mosyle poinformowało, że ModStealer został zaprojektowany z wstępnie załadowanym kodem umożliwiającym wykradanie kluczy prywatnych, certyfikatów, plików z danymi dostępowymi oraz rozszerzeń portfeli przeglądarkowych. Firma odkryła logikę atakującą wiele portfeli, w tym zainstalowanych na przeglądarkach Safari i opartych na Chromium.

Badacze stwierdzili, że ModStealer utrzymuje się na macOS poprzez rejestrację jako agent działający w tle. Prześledzili infrastrukturę serwerową malware do Finlandii, ale uważają, że trasa prowadzi przez Niemcy, aby ukryć lokalizację operatorów.

Dystrybucja poprzez zwodniczą rekrutację

Analiza wykazała, że ModStealer rozprzestrzenia się poprzez fałszywe ogłoszenia rekrutacyjne skierowane do deweloperów. Atakujący przesyłają zadania związane z pracą, zawierające silnie zaciemniony plik JavaScript zaprojektowany do ominięcia wykrycia. Plik ten zawiera wstępnie załadowane skrypty wymierzone w 56 rozszerzeń portfeli przeglądarkowych, w tym Safari, umożliwiając kradzież kluczy i wrażliwych danych.

Mosyle potwierdziło, że również systemy Windows i Linux są podatne. To sprawia, że ModStealer jest jednym z nielicznych aktywnych zagrożeń o szerokim zasięgu wieloplatformowym.

Firma stwierdziła, że ModStealer wpisuje się w profil Malware-as-a-Service (MaaS). W tym modelu cyberprzestępcy budują gotowe zestawy infostealerów i sprzedają je partnerom, którzy mogą nie posiadać umiejętności technicznych. Ten trend przyspieszył ataki w 2025 roku, a Jamf odnotował 28% wzrost aktywności infostealerów w tym roku.

Mosyle zauważyło: „Dla specjalistów ds. bezpieczeństwa, deweloperów i użytkowników końcowych to wyraźne przypomnienie, że ochrona oparta wyłącznie na sygnaturach nie wystarcza. Ciągły monitoring, obrona oparta na zachowaniu oraz świadomość nowych zagrożeń są niezbędne, by wyprzedzić przeciwników.”

Rosnące możliwości infostealerów

ModStealer posiada wiele innych funkcji poza kradzieżą rozszerzeń. Przejmuje schowek, podmieniając kopiowane adresy portfeli na te należące do atakujących. Pozwala to atakującym na wykonywanie zdalnego kodu, przechwytywanie ekranu lub wykradanie plików. 

Na macOS malware wykorzystuje LaunchAgents, aby zapewnić trwałość. Dzięki temu złośliwy program działa nawet po ponownym uruchomieniu systemu, stanowiąc długoterminowe zagrożenie dla zainfekowanych maszyn.

Mosyle wyjaśniło, że budowa ModStealer jest bardzo podobna do struktury innych platform MaaS. Partnerzy uzyskują dostęp do w pełni funkcjonalnych zestawów malware i mogą dostosowywać swoje ataki. Firma dodała, że ten model napędza ekspansję infostealerów na różnych systemach operacyjnych i w różnych branżach.

Na początku 2025 roku ataki poprzez złośliwe pakiety npm, skompromitowane zależności i fałszywe rozszerzenia pokazały, jak przeciwnicy wnikają do zaufanych środowisk deweloperskich. ModStealer, będąc kolejnym krokiem w tej ewolucji, potrafi wtopić się w legalnie wyglądające procesy pracy, przez co jest jeszcze trudniejszy do wykrycia.

Powiązane:

Przesunięcie z błędów kodu na manipulację zaufaniem

Naruszenia bezpieczeństwa w świecie kryptowalut historycznie wynikały z luk w smart kontraktach lub oprogramowaniu portfeli. Jednak ModStealer jest częścią zmiany paradygmatu. Atakujący nie polegają już tylko na wykorzystywaniu błędów czy zero-day; przejmują zaufanie.

Manipulują sposobem, w jaki deweloperzy współpracują z rekruterami, zakładają bezpieczeństwo narzędzi i polegają na znanych zabezpieczeniach antywirusowych. Takie podejście sprawia, że czynnik ludzki staje się najsłabszym ogniwem cyberbezpieczeństwa.

Eksperci ds. bezpieczeństwa zalecają rygorystyczne podejście. Użytkownicy powinni izolować aktywności związane z portfelami, korzystając z oddzielnych maszyn lub środowisk wirtualnych. Deweloperzy powinni bardzo dokładnie analizować zadania od rekruterów oraz sprawdzać źródła i repozytoria przed uruchomieniem kodu. Zaleca się także odejście od antywirusów opartych wyłącznie na sygnaturach na rzecz narzędzi wykrywających na podstawie zachowania, rozwiązań EDR i monitoringu w czasie rzeczywistym.

Inne zalecenia ekspertów obejmują regularne audyty rozszerzeń przeglądarkowych, ograniczanie uprawnień oraz aktualizacje oprogramowania. Uważają, że takie działania zmniejszą ekspozycję na zagrożenia związane z ModStealer.