새롭게 식별된 악성코드, 모드스틸러, 암호 자산 사용자를 주목하게 되었습니다. macOS, Windows 및 Linux보안 회사 Mosyle에 따르면 코드는 그대로 유지되었습니다. 거의 한 달 동안 의심을 받지 않았습니다. VirusTotal에 업로드된 후, 서명 기반 방어가 너무 늦었다는 것을 확실히 보여주는 시간 창이 나타났습니다.
위협의 목적은 다음과 같습니다. 자격 증명을 빼내고 지갑을 비우세요특히 브라우저 확장 프로그램에 초점을 맞춥니다. 침입하기 위해 공격자는 가짜 구인 제안 개발자를 대상으로 하며, 기존 바이러스 백신 엔진을 우회할 수 있는 난독화된 NodeJS 스크립트를 실행하도록 유도하는 미끼입니다.
ModStealer란 무엇이고 어떻게 작동하나요?
ModStealer는 정보 도둑 민감한 데이터를 훔치도록 설계되었습니다. 실행되면 클립보드를 캡처하다, 공연하다 스크린 샷 y 원격 명령 실행을 허용합니다이를 통해 운영자는 손상된 장비에 대한 광범위한 통제권을 확보할 수 있습니다. 이는 매일 자금을 관리하는 사람이라면 누구에게나 쉬운 일이 아닙니다.
맬웨어는 다음을 사용합니다. JavaScript/NodeJS에서의 심층적 난독화 시그니처 기반 엔진을 회피하기 위해 사용되며, 이것이 스텔스 성능이 오래 지속되는 이유입니다. 또한, 사거리는 크로스 플랫폼이를 통해 Apple, Microsoft, Linux 환경에서 큰 마찰 없이 유사하게 작동할 수 있습니다.
브라우저 수준에서 연구자들은 다음을 관찰했습니다. 56개 지갑 확장 프로그램에 대한 특정 논리 (Safari 및 Chromium 기반 옵션 포함) 추출을 목표로 함 개인 키, 자격 증명, 인증서 및 구성 파일, 자금을 통제하는 데 필요한 것만 있습니다.
감염 경로와 그 배후 사업
감지된 캠페인을 끌어옵니다 가짜 구인 광고 개발자를 위한 "테스트 작업"은 이미 존재하는 팀을 찾는 방법입니다. Node.js를 및 기타 개발 도구를 사용하여 악의적인 패키지 실행에 대한 장애물을 줄입니다. 보낸 사람과 도메인을 확인하지 않고 첨부 파일을 열지 않도록 주의하세요.
ModStealer는 계획에 적합합니다. MaaS(Malware-as-a-Service): 경험이 부족한 제휴사도 배포할 수 있는 즉시 사용 가능한 패키지입니다. 이 모델은 정보 도둑의 확산 최근 몇 달 동안의 성과로 개별적이고 타겟팅된 캠페인의 품질이 크게 향상되었습니다.
이 발견은 공급망 사고와 일치합니다. NPM (colortoolsv2 및 mimelib2와 같은 패키지) 시도가 이루어졌습니다. 교환 대상 주소 운영 중 이더리움, 솔라나 및 기타 네트워크. 언급된 영향은 제한적(약 1.000달러) Uniswap, MetaMask, Aave, Sui, Trezor 또는 Lido와 같은 팀은 영향을 받지 않았다고 표시했으며 이 에피소드는 다음과 같은 내용을 보여줍니다. 공격자는 신뢰를 악용합니다 인기 있는 저장소에서.
지속성, C2 및 지표, 그리고 완화 방법
macOS 컴퓨터에서는 남용을 통해 영구성이 보장됩니다. 런치컨트롤 등록하다 런치에이전트, 사용자의 주의를 끌지 않고 각 시작 후 프로세스가 다시 시작됩니다. Exfiltration은 다음을 목표로 합니다. 명령 및 제어(C2) 서버 핀란드에서 호스팅됨 독일을 통과하는 인프라 출처를 흐리게 만들다.
중 참여 지표 문서에는 숨겨진 파일이 있다고 나와 있습니다. .sysupdater.dat의심스러운 목적지로의 비정상적인 발신 연결도 포함됩니다. 시작 항목(LaunchAgents/LaunchDaemons), 예약된 작업 및 방화벽 규칙을 검토하여 비정상적인 활동이 있는지 확인하는 것이 좋습니다.
예방과 관련하여 지갑의 "위생"이 매우 중요합니다. 하드웨어 지갑 가능할 때마다 화면에서 목적지 주소를 확인하세요(적어도 다음을 확인하세요) 첫 번째와 마지막 6자) 승인하기 전에. 전용 브라우저 또는 장치 프로필 지갑을 사용하고 신뢰할 수 있는 확장 프로그램과만 상호 작용합니다.
계정 보안을 위해 다음을 유지하세요. 오프라인 시드 문구, 다중 요소 인증을 활성화하고 사용하세요 FIDO2 액세스 키 가능할 때. "테스트 과제"를 요청받으면 요청하세요. 공개 저장소 그리고 이를 실행하기 전에, 스크립트를 확인하세요 하나만 열어 일회용 가상 머신 지갑, SSH 키 또는 비밀번호 관리자가 없습니다.
기존 바이러스 백신을 넘어 탐지 기능을 강화합니다. 행동 기반 모니터링 및 엔드포인트 원격 측정; 유지 관리 업데이트된 OS, 브라우저 및 확장 프로그램 공격 표면을 줄입니다. 확인하세요 채용 담당자 및 도메인 특히 Node.js에 의존하는 경우 검증되지 않은 채널을 통해 받은 파일이나 스크립트에 주의하세요.
의 조합 은밀성, 지속성 및 크로스 플랫폼 영향 ModStealer는 실질적인 위협이 됩니다. 최근 사건은 억제되었지만, 가짜 작업의 위협 벡터와 브라우저 확장 프로그램에 대한 집중으로 인해 서명뿐만 아니라 동작을 살펴보는 견고한 관행과 도구로 기준을 높여야 합니다.
