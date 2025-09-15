一种新发现的恶意软件，被称为 ModStealer，让加密资产用户成为关注的焦点 macOS，Windows和Linux据安全公司 Mosyle 称，该代码仍然 近一个月没有引起怀疑 上传到 VirusTotal 后，时间窗口清楚地表明仅使用签名的防御已经太晚了。

威胁的目的是 窃取凭证和空钱包，尤其关注浏览器扩展。为了潜入，攻击者会使用 虚假的工作机会 针对开发人员，这是一种诱饵，鼓励执行高度混淆的 NodeJS 脚本，该脚本能够绕过传统的防病毒引擎。

什么是 ModStealer 以及它是如何工作的？

ModStealer 是一个 信息窃贼 旨在窃取敏感数据。一旦执行，它可以 捕获剪贴板， 履行 截图 y 接受远程命令的执行使其运营商对受感染的设备拥有广泛的控制权；对于任何日常管理资金的人来说，这都不是一件容易的事。

该恶意软件使用 JavaScript/NodeJS 中的深度混淆 以规避基于特征的发动机，这解释了它能够长时间隐身。此外，它的射程 跨平台，使其能够在 Apple、Microsoft 和 Linux 环境中以类似的方式运行，而不会产生太多摩擦。

在浏览器层面，研究人员观察到 针对 56 个钱包扩展的特定逻辑 （包括 Safari 和基于 Chromium 的选项）旨在提取 私钥、凭证、证书和配置文件，这正是控制资金所需要的。

感染途径及其背后的商业

检测到的攻击活动 虚假招聘广告 以及为开发人员提供的“测试任务”，这种方法可以寻找已经 Node.js 等开发工具，减少恶意包执行的障碍；注意不要在未验证发件人和域的情况下打开附件。

ModStealer 符合这一计划 恶意软件即服务 (MaaS)：即使经验不足的联盟成员也能轻松部署的即用型软件包。这种模式推动了 信息窃取者的激增 近几个月来，并解释了离散和有针对性的活动质量的飞跃。

这一发现与以下国家的供应链事件相吻合： NPM （像 colortoolsv2 和 mimelib2 这样的软件包），其中进行了尝试 交换目标地址 在操作中 以太坊，索拉纳 以及其他网络。尽管上述影响是 有限（约 1.000 美元） Uniswap、MetaMask、Aave、Sui、Trezor 或 Lido 等团队表示他们没有受到影响，这一事件说明了 攻击者利用信任 在流行的存储库中。

持久性、C2 和指标以及如何缓解

在 macOS 电脑上，通过滥用来保证持久性 Launchctl 注册为 启动代理，这样该进程在每次启动后都会重新启动，而不会引起用户的注意。渗透的目的是 命令与控制 (C2) 服务器 在芬兰举办， 途经德国的基础设施 混淆起源。

其中 参与指标 记录了一个名为 系统更新程序以及与可疑目标的异常传出连接。建议您检查启动项（LaunchAgents/LaunchDaemons）、计划任务和防火墙规则，以发现任何异常活动。

说到预防，钱包的“卫生”至关重要：使用 五金钱包 尽可能在屏幕上确认目的地地址（至少检查 前六个字符和后六个字符）才能批准。保留 专用浏览器或设备配置文件 用于钱包并仅与受信任的扩展进行交互。

为了帐户安全，请保留您的 离线种子短语，激活多重身份验证并使用 FIDO2 访问密钥 当他们有空的时候。如果有人要求你提供“测试作业”，请 公共仓库 在执行这些命令之前， 检查脚本 只能在一个中打开它们 一次性虚拟机 没有钱包、SSH 密钥或密码管理器。

除了经典的防病毒软件之外，它还通过以下方式增强检测 基于行为的监控 和端点遥测；维护 更新操作系统、浏览器和扩展程序 减少攻击面。检查 招聘人员和域名 并对通过未经验证的渠道接收的文件或脚本保持警惕，尤其是依赖于 Node.js 的文件或脚本。

的结合 隐身性、持久性和跨平台影响 使得 ModStealer 成为一种实质性的威胁：虽然最近的事件已经得到控制，但虚假工作和对浏览器扩展的关注的威胁载体需要提高标准，采用可靠的实践和工具来关​​注行为，而不仅仅是签名。