新型恶意软件ModStealer被发现：可逃避检测并窃取加密钱包数据

研究人员近期发现了一种新型恶意软件，能够成功逃避防病毒检查，并从运行在 Windows、Linux 和 macOS 系统上的加密钱包中窃取敏感数据。

这种恶意软件被命名为 ModStealer，其隐蔽性极高，在披露时已被主要防病毒引擎忽视了近一个月。据分析，ModStealer 是通过针对开发人员的虚假招聘广告传播的。

安全公司 Mosyle 披露了这一威胁，并指出该恶意软件利用针对性极强的分发策略，专门针对可能使用或安装 Node.js 开发环境的开发人员。报告 来自 9to5Mac. 解密已联系 Mosyle 以获取更多细节。

区块链安全公司 Slowmist 的首席信息安全官 Shān Zhang 表示，ModStealer“绕过了主流防病毒解决方案的检测，并对更广泛的数字资产生态系统构成了重大风险”。解密称，“与传统窃取程序不同，ModStealer 因其多平台支持和隐秘的‘零检测’执行链而脱颖而出。”

一旦 ModStealer 成功感染设备，它会扫描基于浏览器的加密钱包扩展、系统凭证以及数字证书，并将这些信息泄露到远程 C2（命令与控制）服务器。

在 macOS 系统上，该恶意软件会通过“持久性方法”伪装成后台帮助程序，并设置为每次计算机启动时自动运行，从而悄无声息地潜伏在用户设备中。

感染迹象包括一个名为“.sysupdater.dat”的秘密文件，以及与可疑服务器的连接记录。

张解释说：“尽管这些持久性方法单独来看很常见，但与强大的混淆技术相结合，使得 ModStealer 能够抵御基于签名的安全工具。”

ModStealer 的曝光紧随 Ledger 首席技术官 Charles Guillemet 的警告之后。Guillemet 曾于周二披露，攻击者入侵了 NPM 开发者账户，并试图传播一种恶意代码，该代码能够在交易期间悄悄替换加密钱包地址，从而使多个区块链的资金面临风险。

尽管此次攻击被及时发现并阻止，但 Guillemet 指出，受感染的软件包已经涉及以太坊、Solana 等多个区块链网络。

他在推特上强调：“如果你的资金存放在软件钱包或交易所，只要执行一次恶意代码，你就会失去一切。”

当被问及 ModStealer 可能造成的影响时，张警告称，这种恶意软件对加密用户和平台构成“直接威胁”。

他进一步表示：“对于最终用户来说，私钥、种子短语和交换 API 密钥可能会被泄露，导致直接资产损失；而对于整个加密行业而言，浏览器扩展钱包数据的大规模盗窃可能会引发连锁反应，削弱用户信任，并放大供应链风险。”