新型 ModStealer 恶意软件通过虚假招聘广告窃取加密钱包数据，成功绕过防病毒检测

苹果设备管理和安全公司 Mosyle 在周四发布报告称，一种名为“ModStealer”的新型恶意软件自近一个月前首次出现以来，一直未被主流防病毒工具检测到。

Mosyle 表示，该恶意软件不仅针对 macOS 系统，还具备跨平台特性，主要用于窃取敏感数据，并特别关注加密货币钱包、登录凭证文件、配置信息以及证书。据其透露，ModStealer 的目标是开发者，主要通过伪造的招聘广告进行传播。

分析显示，ModStealer 使用高度混淆的 JavaScript 文件来规避检测，同时包含针对 56 个浏览器钱包扩展（包括 Safari）的预加载脚本，以窃取私钥和账户数据。根据 Mosyle 的研究，Windows 和 Linux 系统同样面临威胁。

此外，研究人员发现，ModStealer 能够执行剪贴板操作、屏幕截图和远程代码执行，赋予攻击者对受感染设备的高度控制能力。在 macOS 上，它通过滥用 Apple 的 launchctl 工具以 LaunchAgent 的形式运行，从而实现持久性并悄无声息地将数据泄露至看似位于芬兰但与德国基础设施相关的远程服务器——这可能是为了掩盖幕后操作者的真实位置。

Mosyle 的研究团队指出，ModStealer 符合日益流行的“恶意软件即服务”商业模式，这种模式在网络犯罪团伙中备受青睐。在这种模式下，现成的信息窃取工具会被出售给技术能力有限的分支机构。

Mosyle 强调：“对于安全专业人员、开发人员和普通用户而言，这一事件再次提醒我们，仅依赖基于签名的保护措施是远远不够的。持续监控、基于行为的防御机制以及对新兴威胁的高度警觉，对于保持领先于攻击者至关重要。”

加密恶意软件攻击呈上升趋势

就在本周一，Ledger 首席技术官 Charles Guillemet 发出警告，建议加密用户暂停链上交易，原因是近期发生了一次大规模的 Node 包管理器（NPM）供应链攻击。攻击者通过伪造的 NPM 支持邮件窃取开发者凭证，进而发布恶意软件包，试图通过秘密替换目标地址劫持以太坊、Solana 和其他区块链上的加密交易。

然而，Guillemet 后续表示，这次攻击“幸好失败了”，几乎没有造成重大损失。根据阿卡姆追踪的数据，在入侵被发现并及时阻止之前，仅约 1,000 美元的加密货币被盗。“眼前的危险可能已经过去，但威胁依然存在，”Guillemet 在 X 平台上写道，敦促用户优先选择硬件钱包并采用明确的签名保护。

截至周二凌晨，包括 Uniswap、MetaMask、OKX Wallet、Sui、Aave、Trezor 和 Lido 在内的多个加密货币团队均报告称未受到此次攻击的影响。安全组织 SEAL Org 称这一结果“非常幸运”，并指出，如果攻击载荷更加隐蔽，一个每周下载量达“数十亿次”的被盗账户可能会导致“无法估量的经济损失”。

上周，报告来自 ReversingLabs 的研究人员还发现，威胁行为者曾利用以太坊智能合约隐藏两个用于传播恶意指令的 NPM 包，直到相关恶意软件家族被清除。