一種新發現的惡意軟體,被稱為 ModStealer,讓加密資產用戶成為關注的焦點 macOS,Windows和Linux據安全公司 Mosyle 稱,該代碼仍然 近一個月沒有引起懷疑 上傳到 VirusTotal 後,時間視窗清楚地表明僅使用簽名的防禦已經太晚了。
威脅的目的是 竊取憑證和空錢包,尤其關注瀏覽器擴充功能。為了潛入,攻擊者會使用 虛假的工作機會 針對開發人員,這是一種誘餌,鼓勵執行高度混淆的 NodeJS 腳本,該腳本能夠繞過傳統的防毒引擎。
什麼是 ModStealer 以及它是如何運作的?
ModStealer 是一個 資訊竊賊 旨在竊取敏感資料。一旦執行,它可以 捕捉剪貼簿,執行 截圖 y 接受遠端命令的執行使其運營商對受感染的設備擁有廣泛的控制權;對於任何日常管理資金的人來說,這都不是一件容易的事。
該惡意軟體使用 JavaScript/NodeJS 中的深度混淆 以規避基於特徵的發動機,這解釋了它能夠長時間隱身。此外,它的射程 跨平台,使其能夠在 Apple、Microsoft 和 Linux 環境中以類似的方式運行,而不會產生太多摩擦。
在瀏覽器層面,研究者觀察到 針對 56 個錢包擴充功能的特定邏輯 (包括 Safari 和基於 Chromium 的選項)旨在提取 私鑰、憑證、憑證和設定文件,這正是控制資金所需要的。
感染途徑及其背後的商業
偵測到的攻擊活動 虛假徵才廣告 以及為開發人員提供的“測試任務”,這種方法可以尋找已經 Node.js的 等開發工具,減少惡意包執行的障礙;注意不要在未驗證寄件者和網域的情況下開啟附件。
ModStealer 符合此計劃 惡意軟體即服務 (MaaS):即使經驗不足的聯盟成員也能輕鬆部署的即用型軟體包。這種模式推動了 資訊竊取者的激增 近幾個月來,並解釋了離散和有針對性的活動品質的飛躍。
這項發現與以下國家的供應鏈事件相吻合: NPM (像 colortoolsv2 和 mimelib2 這樣的軟體包),其中進行了嘗試 交換目標位址 在操作中 以太坊、Solana 以及其他網路。儘管上述影響是 有限(約 1.000 美元) Uniswap、MetaMask、Aave、Sui、Trezor 或 Lido 等團隊表示他們沒有受到影響,這事件說明了 攻擊者利用信任 在流行的儲存庫中。
持久性、C2 和指標以及如何緩解
在 macOS 電腦上,透過濫用來保證持久性 啟動控制 註冊為 啟動代理,這樣該進程在每次啟動後都會重新啟動,而不會引起使用者的注意。滲透的目的是 命令與控制 (C2) 伺服器 在芬蘭舉辦, 途經德國的基礎設施 混淆起源。
之間 參與指標 記錄了一個名為 系統更新程式以及與可疑目標的異常傳出連線。建議您檢查啟動項目(LaunchAgents/LaunchDaemons)、計畫任務和防火牆規則,以發現任何異常活動。
說到預防,錢包的「衛生」至關重要:使用 硬件錢包 盡可能在螢幕上確認目的地地址(至少檢查 前六個字符和後六個字符)才能批准。保留 專用瀏覽器或裝置設定文件 用於錢包並僅與受信任的擴充功能進行互動。
為了帳戶安全,請保留您的 離線種子短語,啟動多重身份驗證並使用 FIDO2 存取金鑰 當他們有空的時候。如果有人要求你提供“測試作業”,請 公共儲存庫 在執行這些命令之前, 檢查腳本 只能在一個中打開它們 免洗虛擬機 沒有錢包、SSH 金鑰或密碼管理器。
除了經典的防毒軟體之外,它還透過以下方式增強檢測 基於行為的監控 和端點遙測;維護 更新作業系統、瀏覽器和擴充功能 減少攻擊面。檢查 招募人員和域名 並對透過未經驗證的管道接收的檔案或腳本保持警惕,尤其是依賴 Node.js 的檔案或腳本。
的結合 隱身性、持久性和跨平台影響 使得 ModStealer 成為一種實質性的威脅:雖然最近的事件已經得到控制,但虛假工作和對瀏覽器擴展的關注的威脅載體需要提高標準,採用可靠的實踐和工具來關注行為,而不僅僅是簽名。
