Um malware recentemente identificado, denominado ModStealer, está colocando os usuários de criptoativos em destaque macOS, Windows e LinuxSegundo a empresa de segurança Mosyle, o código conseguiu permanecer quase um mês sem levantar suspeitas após ser carregado no VirusTotal, uma janela de tempo que deixa claro que as defesas baseadas apenas em assinaturas estão atrasadas demais.
O objetivo da ameaça é exfiltrar credenciais e esvaziar carteiras, com foco particular em extensões de navegador. Para se infiltrar, os invasores usam ofertas de emprego falsas destinado a desenvolvedores, uma isca que incentiva a execução de um script NodeJS altamente ofuscado, capaz de contornar mecanismos antivírus tradicionais.
O que é ModStealer e como ele funciona?
ModStealer é um ladrão de informações projetado para roubar dados confidenciais. Uma vez executado, ele pode capturar a área de transferência, fazer Capturas de tela y aceitar a execução de comandos remotos, dando aos seus operadores amplo controle sobre o equipamento comprometido; o que não é pouca coisa para quem administra fundos no dia a dia.
O malware usa um Ofuscação profunda em JavaScript/NodeJS para escapar de motores baseados em assinatura, o que explica sua furtividade prolongada. Além disso, seu alcance é multi plataforma, permitindo que ele opere de forma semelhante em ambientes Apple, Microsoft e Linux sem muito atrito.
No nível do navegador, os pesquisadores observaram uma lógica específica contra 56 extensões de carteira (incluindo opções baseadas em Safari e Chromium) destinadas a extrair chaves privadas, credenciais, certificados e arquivos de configuração, exatamente o que é necessário para assumir o controle dos fundos.
Rotas de infecção e os negócios por trás delas
A campanha detectada puxa anúncios de emprego falsos e “tarefas de teste” para desenvolvedores, um método que busca equipes onde já existe Node.js e outras ferramentas de desenvolvimento, reduzindo obstáculos à execução de pacotes maliciosos; tenha cuidado para não abrir anexos sem verificar o remetente e o domínio.
O ModStealer se encaixa no esquema Malware como serviço (MaaS): pacotes prontos para uso que podem ser implementados por afiliados com pouca experiência. Este modelo impulsionou a proliferação de ladrões de informações nos últimos meses e explica o salto de qualidade em campanhas discretas e segmentadas.
A descoberta coincide com incidentes na cadeia de abastecimento em NPM (pacotes como colortoolsv2 e mimelib2), onde foi feita uma tentativa endereços de destino de troca em operações em Ethereum, Solana e outras redes. Embora o impacto declarado tenha sido limitado (cerca de US$ 1.000) e equipes como Uniswap, MetaMask, Aave, Sui, Trezor ou Lido indicaram que não foram afetadas, o episódio ilustra como Os invasores exploram a confiança em repositórios populares.
Persistência, C2 e indicadores e como mitigar
Em computadores macOS, a permanência é garantida abusando lançamentoctl para registrar como Agente de Lançamento, para que o processo reinicie após cada inicialização sem atrair a atenção do usuário. A exfiltração visa uma Servidor de Comando e Controle (C2) hospedado na Finlândia, com infraestrutura encaminhada pela Alemanha para ofuscar a origem.
Entre o indicadores de engajamento documentado que há um arquivo oculto chamado .sysupdater.dat, bem como conexões de saída incomuns para destinos suspeitos. É uma boa ideia verificar as entradas de inicialização (LaunchAgents/LaunchDaemons), tarefas agendadas e regras de firewall para detectar qualquer atividade anômala.
Quando se trata de prevenção, a “higiene” das suas carteiras conta muito: use hardware wallets sempre que puder e confirme o endereço de destino na tela (marque pelo menos o primeiros e últimos seis caracteres) antes de aprovar. Mantenha um navegador dedicado ou perfil de dispositivo para a carteira e interagir apenas com extensões confiáveis.
Para segurança da conta, mantenha sua frases-semente offline, ative a autenticação multifator e use Chaves de acesso FIDO2 quando estiverem disponíveis. Se lhe pedirem “tarefas de teste”, peça-as em repositórios públicos e, antes de executá-los, verifique os scripts abrindo-os apenas em um máquina virtual descartável sem carteiras, chaves SSH ou gerenciadores de senhas.
Além do antivírus clássico, ele reforça a detecção com monitoramento baseado em comportamento e telemetria de ponto final; manter SO, navegadores e extensões atualizados reduz a superfície de ataque. Verifique recrutadores e domínios e tenha cuidado com arquivos ou scripts recebidos por canais não verificados, especialmente se eles dependem do Node.js.
A combinação de furtividade, persistência e impacto multiplataforma torna o ModStealer uma ameaça substancial: embora incidentes recentes tenham sido contidos, o vetor de ameaça de trabalhos falsos e o foco em extensões de navegador exigem elevar o nível com práticas e ferramentas sólidas que analisam o comportamento, não apenas as assinaturas.
