新型 ModStealer 惡意軟件利用虛假招聘廣告搜索加密錢包，逃避防病毒檢測

蘋果設備管理和安全公司 Mosyle 週四發現了一種名為“ModStealer”的新惡意軟件——自近一個月前首次出現以來，一直未被防病毒工具檢測到。

Mosyle 表示，該惡意軟件不僅針對 macOS 系統，而且跨平台，專門用於竊取數據告訴9to5Mac。 ModStealer 的主要目的是竊取數據 — — 特別是針對加密貨幣錢包、憑證文件、配置詳細信息和證書。

Mosyle 發現，ModStealer 正在通過針對開發者的虛假招聘廣告進行傳播。 該惡意軟件使用高度混淆的 JavaScrIPt 文件來逃避檢測，並包含針對 56 個瀏覽器錢包擴展程序（包括 Safari）的預加載腳本，旨在竊取私鑰和敏感賬戶數據。 根據 Mosyle 的分析，Windows 和 Linux 系統也面臨風險。

此外，Mosyle 的研究人員發現，ModStealer 能夠執行剪貼板和屏幕截圖，以及遠程代碼執行，使攻擊者幾乎可以完全控制受感染的設備。 在 macOS 上，它通過濫用 Apple 的 launchctl 工具以 LaunchAgent 的形式運行來保持持久性，悄無聲息地將數據洩露到看似位於芬蘭但連接到德國基礎設施的遠程服務器——這可能是為了掩蓋操作者的真實位置。

研究人員補充說，ModStealer 符合日益流行的惡意軟件即服務“商業模式”，這種模式在網絡犯罪團伙中越來越受歡迎，在這種模式下，現成的信息竊取程序會被出售給技術技能最低的分支機構。

Mosyle 表示：“對於安全專業人員、開發人員和最終用戶來說，這都清楚地提醒我們，僅靠基於簽名的保護是不夠的。持續監控、基於行為的防禦以及對新興威脅的警覺，對於保持領先於對手至關重要。”

加密惡意軟件攻擊呈上升趨勢

週一，Ledger 首席技術官 Charles Guillemet 警告在大規模的 Node 包管理器供應鏈攻擊之後，加密用戶暫停鏈上交易。 攻擊者使用偽造的 NPM 支持郵件竊取開發者憑證，從而發布惡意軟件包，旨在通過秘密交換目標地址來劫持以太坊、Solana 和其他區塊鏈上的加密交易。

然而，吉耶梅後來表示，這次襲擊“幸好失敗了”幾乎沒有受害者，阿卡姆追踪數據這表明，在入侵被發現並關閉之前，只有 1,000 美元的加密貨幣被盜。 “眼前的危險可能已經過去，但威脅還沒有過去，”Guillemet寫道在 X 上，敦促用戶青睞硬件錢包和明確的簽名保護。

截至週二凌晨，包括 Uniswap、MetaMask、OKX Wallet、Sui、Aave、Trezor 和 Lido 在內的多個加密貨幣團隊報告稱，他們並未受到影響。 安全組織 SEAL Org 稱這一結果“很幸運”，並指出，如果有效載荷更加隱蔽，一個每週下載“數十億次”軟件包的被盜賬戶可能會帶來“數不清的財富”。

上週，報告ReversingLabs 還發現，在惡意軟件家族被清除之前，威脅行為者正在使用以太坊智能合約來隱藏用於傳播惡意指令的兩個 NPM 包。