Co to jest ModStealer i jakie systemy atakuje?

ModStealer to wieloplatformowy stealer — złośliwe oprogramowanie odkryte przez Mosyle — które celuje w portfele kryptowalut działające w przeglądarce oraz środowiska deweloperskie na Windows, macOS i Linux.

Jak ModStealer się rozprzestrzenia?

Wektorem ataku są fałszywe ogłoszenia rekrutacyjne i linki kierowane do deweloperów; ładunek wykorzystuje środowiska Node.js i ekosystem JavaScript oraz obfuskowany instalator, by omijać wykrywanie antywirusowe.

Jakie dane może wykradać ModStealer?

Skanuje rozszerzenia portfeli w przeglądarce w poszukiwaniu kluczy prywatnych, fraz odzyskiwania, kluczy API giełd, a także zbiera hasła systemowe i certyfikaty przed wysłaniem danych na serwery C2.

Jakie kroki mogę podjąć, aby się zabezpieczyć?

Przeglądaj i usuwaj nieznane rozszerzenia, unikaj instalacji z niezweryfikowanych linków i pakietów NPM, utrzymuj aktualną ochronę punktów końcowych z monitorowaniem behawioralnym, przechowuj duże środki w portfelach sprzętowych oraz monitoruj wskaźniki kompromitacji (np. ".sysupdater.dat" i podejrzane połączenia).

Nowy wieloplatformowy ModStealer atakuje portfele w przeglądarce i środowiska deweloperskie

4 Minuty

Nowy wieloplatformowy stealer atakuje portfele w przeglądarce i środowiska deweloperskie

Badacze bezpieczeństwa odkryli nowy, ukryty wariant złośliwego oprogramowania o nazwie ModStealer, zdolny do omijania popularnych silników antywirusowych i wykradania danych z portfeli kryptowalut działających w przeglądarce na systemach Windows, macOS i Linux. Odkrycie, ujawnione przez firmę zajmującą się ochroną punktów końcowych Mosyle i opisane przez 9to5Mac, uwypukla odnowione zagrożenie łańcuchem dostaw oraz inżynierię społeczną wobec użytkowników kryptowalut i deweloperów.

Jak rozprzestrzenia się ModStealer

Analiza Mosyle wskazuje, że wektor ataku zaczyna się od fałszywych ogłoszeń rekruterów wymierzonych w deweloperów. Zachęta jest celowa: programiści często mają zainstalowane środowiska Node.js i powiązane narzędzia, co czyni ich atrakcyjnym celem dla ładunku wykorzystującego ekosystem JavaScript. Instalator ModStealer jest zamaskowany (obfuskowany), by obejść wykrywanie oparte na sygnaturach, i według raportów przez prawie miesiąc po wdrożeniu pozostawał niezauważony przez kilka głównych silników antywirusowych.

Co robi to złośliwe oprogramowanie

Po uruchomieniu ModStealer wykonuje szereg działań rozpoznawczych i eksfiltracyjnych ukierunkowanych na ekosystem kryptowalut. Skanuje systemy w poszukiwaniu rozszerzeń portfeli w przeglądarce, szukając kluczy prywatnych, fraz odzyskiwania (seed phrase), kluczy API giełd oraz innych poświadczeń. Zbierane są także hasła systemowe i certyfikaty cyfrowe, po czym skradzione dane są przesyłane do zdalnych serwerów dowodzenia i kontroli (C2). Wieloplatformowa konstrukcja malware i łańcuch wykonywania zapewniający „brak wykrycia” czynią je szczególnie niebezpiecznym dla użytkowników polegających na portfelach programowych lub rozszerzeniach przeglądarki.

Na urządzeniach z macOS ModStealer próbuje uzyskać trwałość, rejestrując się jako program pomocniczy działający w tle i uruchamiany przy każdym starcie systemu. Zainfekowane maszyny mogą zawierać ukryty plik o nazwie ".sysupdater.dat" oraz wykazywać połączenia z podejrzanymi zdalnymi serwerami — wskaźniki, które Mosyle wskazało w ujawnieniu.

Szersze implikacje dla bezpieczeństwa w ekosystemie kryptowalut

Shān Zhang, CISO w firmie zajmującej się bezpieczeństwem blockchain Slowmist, powiedział serwisowi Decrypt, że ModStealer to więcej niż pojedyncza kradzież: masowe wyciąganie danych z rozszerzeń portfeli w przeglądarce może umożliwić szeroko zakrojone ataki na łańcuchu (on-chain) i podkopać zaufanie do zdecentralizowanych aplikacji. Napastnicy mający dostęp do kluczy prywatnych lub fraz odzyskiwania mogą natychmiast opróżnić portfele lub zaaranżować szersze ataki na łańcuch dostaw, które kompromitują wielu użytkowników i usługi.

To ostrzeżenie pojawia się obok ostatnich alertów innych zespołów bezpieczeństwa. CTO Ledger, Charles Guillemet, zaalarmował po tym, jak konto dewelopera NPM zostało przejęte w próbie wypchnięcia złośliwych pakietów, które mogą w sposób niewidoczny zastępować adresy portfeli podczas transakcji. ReversingLabs również poinformował, że niektóre pakiety open-source były wykorzystywane w kampaniach, gdzie inteligentne kontrakty Ethereum posłużyły do dystrybucji malware — zaawansowana taktyka zacierająca granicę między wektorami ataku on-chain i off-chain.

Kto jest narażony?

Każdy korzystający z portfeli w przeglądarce, menedżerów pakietów JavaScript lub środowisk deweloperskich znajduje się w podwyższonym ryzyku. Portfele programowe i klucze przechowywane w rozszerzeniach są szczególnie podatne, ponieważ jedno skuteczne wykonanie kodu lub przejęty pakiet może ujawnić wrażliwe sekrety. Giełdy i platformy powiernicze również są narażone, jeśli zostaną wykradzione klucze API.

Działania zaradcze i zalecenia

Zespoły ds. bezpieczeństwa i indywidualni użytkownicy kryptowalut powinni podjąć następujące środki ostrożności:

Przejrzyj zainstalowane rozszerzenia przeglądarki i usuń nieznane lub niepotrzebne dodatki portfela.
Unikaj instalowania oprogramowania z niezamówionych linków rekruterów lub niezweryfikowanych pakietów NPM.
Utrzymuj aktualną ochronę punktów końcowych i włącz monitorowanie behawioralne, nie tylko antywirus oparte na sygnaturach.
Przechowuj większe środki w portfelach sprzętowych lub cold storage i ogranicz używanie fraz odzyskiwania na urządzeniach podłączonych do sieci.
Monitoruj wskaźniki kompromitacji, takie jak nieoczekiwane pliki (np. ".sysupdater.dat") lub wychodzące połączenia z podejrzanymi domenami C2.

Ujawnienie przez Mosyle podkreśla trwające ryzyka w łańcuchu dostaw kryptowalut: napastnicy łączą inżynierię społeczną, obfuskowany kod i wieloplatformową trwałość, aby atakować narzędzia deweloperskie i portfele w przeglądarce. Użytkownicy i organizacje powinni zakładać, że każde wykonanie kodu w środowisku portfela programowego może prowadzić do bezpośredniej utraty środków i wdrażać wielowarstwowe obrony zmniejszające powierzchnię ataku oraz poprawiające wykrywanie incydentów.

Źródło: decrypt

Komentarze

Zostaw komentarz

Nowy wieloplatformowy ModStealer atakuje portfele w przeglądarce i środowiska deweloperskie

Nowy wieloplatformowy stealer atakuje portfele w przeglądarce i środowiska deweloperskie

Jak rozprzestrzenia się ModStealer

Co robi to złośliwe oprogramowanie

Szersze implikacje dla bezpieczeństwa w ekosystemie kryptowalut

Kto jest narażony?

Działania zaradcze i zalecenia

Komentarze

Powiązane posty

Bitcoin wzrasta do 19-dniowego maksimum dzięki łagodniejszym danym o inflacji i oczekiwaniom cięć stóp

Kto kontroluje największy udział XRP w 2025?

Komputery kwantowe a bezpieczeństwo Bitcoina: ryzyka i zabezpieczenia

Złoty krzyż MACD Bitcoina ożywia nadzieje na wzrosty

Bitcoin i PoTT: perspektywa płatności międzyplanetarnych

Proponowany bank kryptowalut dla Rosji

Rajd Bitcoina napędza rynek kryptowalut przed danymi o inflacji w USA

Krótkoterminowy strach ogarnia rynki kryptowalut, analitycy: to zjawisko przejściowe

Korekta Bitcoina przypomina wcześniejsze konsolidacje po ATH

Apple kontra Bitcoin: porównanie długoterminowych zwrotów i siły nabywczej

Wietnam uruchamia pięcioletni pilotaż regulujący handel kryptowalutami