針對 Windows、Linux 和 MacOS 系統上的加密錢包的隱秘惡意軟件

週四發現了一種新的惡意軟件，它可以逃避防病毒檢查並從 Windows、Linux 和 macOS 系統上的加密錢包中竊取數據。

該惡意軟件被稱為 ModStealer，在被披露時，主要防病毒引擎已經將其隱藏近一個月，其程序包是通過針對開發人員的虛假招聘廣告發送的。

據初步了解，這一消息是由安全公司 Mosyle 披露的。 報告 從 9to5Mac. 解密已聯繫 Mosyle 以了解更多信息。

Mosyle 表示，通過虛假招聘廣告進行分發是一種故意的策略，因為它的目的是接觸那些可能已經在使用或安裝了 Node.js 環境的開發人員。

區塊鏈安全公司 Slowmist 的首席信息安全官 Shān Zhang 表示，ModStealer“逃避了主流防病毒解決方案的檢測，並對更廣泛的數字資產生態系統構成了重大風險”。 解密“與傳統的竊取程序不同，ModStealer 因其多平台支持和隱秘的‘零檢測’執行鏈而脫穎而出。”

一旦執行，惡意軟件就會掃描基於瀏覽器的加密錢包擴展、系統憑證和數字證書。

然後，它會“將數據洩露到遠程 C2 服務器”，張解釋說。 C2，即“命令與控制”服務器，是一個集中式系統，網絡犯罪分子用它來管理和控製網絡中被感染的設備，充當惡意軟件和網絡攻擊的運營中心。

在運行 macOS 的 Apple 硬件上，該惡意軟件通過“持久性方法”將自身設置為在每次計算機啟動時自動運行，並偽裝成後台幫助程序。

該設置使其悄無聲息地運行，用戶毫不知情。 根據披露，感染跡象包括一個名為“.sysupdater.dat”的秘密文件以及與可疑服務器的連接。

張說：“儘管這些持久性方法單獨來看很常見，但與強大的混淆相結合，使得 ModStealer 能夠抵禦基於簽名的安全工具。”

ModStealer 的發現緊隨 Ledger 首席技術官 ChARles Guillemet 的相關警告之後，他披露週二，攻擊者入侵了 NPM 開發者賬戶，並試圖傳播惡意代碼，這些代碼可以在交易期間悄悄替換加密錢包地址，從而使多個區塊鏈的資金面臨風險。

儘管這次攻擊很早就被發現並失敗了，但 Guillemet 後來指出，被感染的軟件包已經連接到以太坊、Solana 和其他鏈。

“如果你的資金存放在軟件錢包或交易所，那麼只要執行一次代碼，你就會失去一切。”——Guillemet發推文在他最初發出警告數小時後。

當被問及新惡意軟件可能造成的影響時，張警告說，ModStealer 對加密用戶和平台構成“直接威脅”。

對於最終用戶來說，“私鑰、種子短語和交換 API 密鑰可能會被洩露，從而導致直接資產損失，”張先生說，並補充說，對於加密行業來說，“瀏覽器擴展錢包數據的大規模盜竊可能會引發大規模的鏈上攻擊，從而削弱信任並放大供應鏈風險。”