Нещодавно виявлене шкідливе програмне забезпечення під назвою МодСтейлер ставить під контроль користувачів криптовалюти macOS, Windows та Linux, з особливим акцентом на гаманці на основі браузера та облікові дані для входу.
За даними охоронної фірми Mosyle, шкідливий код Він провів майже місяць, його не виявляли основними антивірусними системами після завантаження на VirusTotal, що збільшує ризик для тих, хто покладається виключно на захист на основі сигнатур.
Що таке ModStealer і як він працює?
ModStealer – це злодій інформації Спрямовано на спустошення гаманців та збір конфіденційних даних. Використовує скрипт. Сильно заплутаний JavaScript/NodeJS обходити відомі сигнатури, сприяючи тихому виконанню та витоку даних без виникнення підозр.
Після того, як комп'ютер скомпрометовано, шкідливе програмне забезпечення дозволяє захоплення буфера обміну, скріншоти та віддалене виконання команд, що надає зловмисникам широкий контроль над ураженою системою.
Дослідники також спостерігали певну логіку атаки 56 розширень гаманця у браузерах, включаючи розширення Safari та браузери на базі Chromium, з метою вилучення закриті ключі, сертифікати та файли облікових даних.
Шляхи зараження: фальшиві вакансії, спрямовані на розробників
Кампанія поширюється через фальшиві оголошення про роботу спрямовані на розробників та творців екосистеми Web3. У багатьох випадках зловмисники просять завершити «Тестові завдання» або завантажте нібито нешкідливі пакети, які насправді встановлюють код ModStealer.
Цей підхід шукає команди, де вже є Node.js або подібні середовища розробки, максимізуючи ймовірність виконання скриптів та мінімізуючи сповіщення під час процесу встановлення.
Збереження в macOS та інфраструктурі командування та управління
На пристроях Apple зловживання шкідливим програмним забезпеченням launchctl зареєструватися як LaunchAgent та забезпечити його безперервність після перезавантажень, інтегруючись як фоновий процес, не привертаючи уваги користувача.
Викрадена інформація надсилається на сервер Командування та управління (C2) розміщено у Фінляндії, хоча інфраструктура, здається, проїхати через Німеччину приховати справжнє походження операторів.
Ознаками компрометації є наявність прихованого файлу «.sysupdater.dat» та незвичайні вихідні з’єднання з підозрілими доменами, корисні сигнали для команд реагування на інциденти.
Випадок повного розширення шкідливого програмного забезпечення як послуги
Дослідники розміщують ModStealer у рамках моделі Зловмисне програмне забезпечення як послуга (MaaS), де розробники продають готові пакети партнерам з невеликим технічним досвідом, що сприяє поширенню інфокрадії.
Аналогічно, галузеві звіти, такі як звіти Jamf, вказують на значне зростання цього типу загроз у середовищах Mac ця тенденція підсилює потребу в засобах контролю безпеки, що виходять за рамки простого виявлення підписів.
Вплив на криптоекосистему та нещодавні атаки на ланцюги поставок
Відкриття збігається з інцидентами в NPM, де шкідливі пакети (такі як colortoolsv2 та mimelib2) намагалися обмін адресами призначення у транзакціях на Ethereum, Solana та інших мережах, використовуючи довіру розробників до популярних репозиторіїв.
Після попереджень технічного директора Ledger Чарльза Гільємета, прямий вплив залишався обмеженим, оскільки приблизні збитки у розмірі 1.000 доларів США, а такі команди, як Uniswap, MetaMask, Aave, Sui, Trezor та Lido, повідомляють, що вони не постраждали; проте епізод показує, як швидко ескалюють ці типи атак.
Практичні заходи для користувачів та технічних команд
Проти таких загроз, як ModStealer, доцільно посилити гігієна гаманців та безпека кінцевих точок, поєднуючи передовий досвід із моніторингом на основі поведінки.
- Використовуйте апаратні гаманці та підтверджуйте адресу призначення на екрані (перевірте принаймні перші та останні шість символів).
- Підтримуйте окремий профіль браузера або пристрою для гаманця; взаємодійте лише з перевіреними розширеннями.
- Зберігайте початкові фрази офлайн; увімкніть багатофакторну автентифікацію (MFA) та, де це можливо, використовуйте паролі FIDO2.
- Суворо розділіть середовище розробки («dev box») від гаманця («wallet box») та об’єднайте завдання відкритого тестування в одне одноразова віртуальна машина.
- Перевірте рекрутерів та домени; надішліть запит на поширення тестів через публічні репозиторії.
- Застосовувати безперервний моніторинг та виявлення поведінки; підтримувати OS, браузери та розширення оновлені.
Для розробників це ключово перевірити легітимність будь-якої пропозиції роботи та обережно ставтеся до файлів або скриптів, отриманих через неперевірені канали, особливо якщо вони пов'язані з Node.js.
ModStealer підтверджує, що крадіжка інформації розвивається в бік більш цілеспрямованих та дискретних кампаній; поєднання Заплутування, персистентність та C2 Це ускладнює виявлення, але стратегія, що включає сегментацію середовища, апаратні гаманці та виявлення на основі поведінки, може значно зменшити поверхню атаки.
