新型跨平台恶意软件 ModStealer 隐秘窃取加密钱包数据

近日，安全研究人员发现了一种新型恶意软件 ModStealer，它能够逃避主流防病毒软件的检测，并从 Windows、Linux 和 macOS 系统中的加密钱包中窃取敏感数据。

该恶意软件通过伪造的开发者招聘信息进行分发，主要针对那些使用 Node.js 环境的开发人员。据安全公司 Mosyle 披露，ModStealer 已成功隐藏近一个月未被主流防病毒引擎检测到。

根据 9to5Mac 的报告，这一威胁已引起了广泛关注。解密已联系 Mosyle 以获取更多细节。

Mosyle 指出，攻击者选择通过虚假招聘广告传播恶意软件是一种有针对性的策略，因为目标群体更可能已经安装了开发工具和相关环境。

区块链安全公司 Slowmist 的首席信息安全官 Shān Zhang 表示：“ModStealer 不仅规避了主流防病毒解决方案的检测，还对整个数字资产生态系统构成了严重威胁。” 他补充道，“与传统窃取程序不同，ModStealer 因其多平台支持和隐秘的‘零检测’执行链而显得尤为危险。”

一旦感染目标设备，ModStealer 会扫描基于浏览器的加密钱包扩展、系统凭证以及数字证书。

随后，这些数据会被发送到远程 C2（命令与控制）服务器。C2 是网络犯罪分子用来管理受感染设备的核心系统，同时也是恶意软件攻击的运营中心。

在 macOS 系统上，该恶意软件通过“持久性方法”将自身设置为每次计算机启动时自动运行，并伪装成后台帮助程序。

这种隐蔽性使用户难以察觉异常。披露信息显示，感染的迹象包括一个名为“.sysupdater.dat”的秘密文件，以及与可疑服务器的连接。

张补充道：“尽管这些持久性技术单独来看并不罕见，但与强大的代码混淆技术相结合，使得 ModStealer 能够有效规避基于签名的安全工具。”

ModStealer 的发现紧随硬件钱包制造商 Ledger 的首席技术官 Charles Guillemet 的警告之后。他在周二透露，攻击者入侵了 NPM 开发者账户，并试图传播恶意代码，这些代码可以在交易期间悄无声息地替换加密钱包地址，从而危及多个区块链上的资金安全。

尽管此次攻击在早期被发现并阻止，但 Guillemet 指出，被感染的软件包已与以太坊、Solana 等区块链建立连接。

Guillemet 在推文中强调：“如果你的资金存放在软件钱包或交易所，只需一次恶意代码执行，你就会失去一切。”

当被问及新恶意软件的影响时，张警告称，ModStealer 对加密用户和行业构成了“直接威胁”。

对于终端用户而言，“私钥、种子短语和交易所 API 密钥可能会被泄露，导致直接资产损失。” 张先生进一步指出，对于加密行业来说，“大规模的浏览器扩展钱包数据盗窃可能引发大规模链上攻击，削弱信任并放大供应链风险。”