Mosyle, a company specializing in Apple device management and security, discovered a new malicious software called "ModStealer" on Thursday. This malware has been flying under the radar for almost a month since its initial appearance, evading detection by antivirus tools.
Mosyle 表示,该恶意软件不仅针对 macOS 系统,而且跨平台,专门用于窃取数据告诉9to5Mac。ModStealer 的主要目的是窃取数据 — — 特别是针对加密货币钱包、凭证文件、配置详细信息和证书。
Mosyle 发现,ModStealer 正在通过针对开发者的虚假招聘广告进行传播。该恶意软件使用高度混淆的 JavaScript 文件来逃避检测,并包含针对 56 个浏览器钱包扩展程序(包括 Safari)的预加载脚本,旨在窃取私钥和敏感账户数据。根据 Mosyle 的分析,Windows 和 Linux 系统也面临风险。
此外,Mosyle 的研究人员发现,ModStealer 能够执行剪贴板和屏幕截图,以及远程代码执行,使攻击者几乎可以完全控制受感染的设备。在 macOS 上,它通过滥用 Apple 的 launchctl 工具以 LaunchAgent 的形式运行来保持持久性,悄无声息地将数据泄露到看似位于芬兰但连接到德国基础设施的远程服务器——这可能是为了掩盖操作者的真实位置。
研究人员补充说,ModStealer 符合日益流行的恶意软件即服务“商业模式”,这种模式在网络犯罪团伙中越来越受欢迎,在这种模式下,现成的信息窃取程序会被出售给技术技能最低的分支机构。
Mosyle 表示:“对于安全专业人员、开发人员和最终用户来说,这都清楚地提醒我们,仅靠基于签名的保护是不够的。持续监控、基于行为的防御以及对新兴威胁的警觉,对于保持领先于对手至关重要。”
加密恶意软件攻击呈上升趋势周一,Ledger 首席技术官 Charles Guillemet 警告在大规模的 Node 包管理器供应链攻击之后,加密用户暂停链上交易。攻击者使用伪造的 NPM 支持邮件窃取开发者凭证,从而发布恶意软件包,旨在通过秘密交换目标地址来劫持以太坊、Solana 和其他区块链上的加密交易。
然而,吉耶梅后来表示,这次袭击“幸好失败了”几乎没有受害者,阿卡姆追踪数据这表明,在入侵被发现并关闭之前,只有 1,000 美元的加密货币被盗。“眼前的危险可能已经过去,但威胁还没有过去,”Guillemet写道在 X 上,敦促用户青睐硬件钱包和明确的签名保护。
截至周二凌晨,包括 Uniswap、MetaMask、OKX Wallet、Sui、Aave、Trezor 和 Lido 在内的多个加密货币团队报告称,他们并未受到影响。安全组织 SEAL Org 称这一结果“很幸运”,并指出,如果有效载荷更加隐蔽,一个每周下载“数十亿次”软件包的被盗账户可能会带来“数不清的财富”。
上周,报告ReversingLabs 还发现,在恶意软件家族被清除之前,威胁行为者正在使用以太坊智能合约来隐藏用于传播恶意指令的两个 NPM 包。