Un logiciel malveillant nouvellement identifié appelé Voleur de mods met les utilisateurs de cryptomonnaie sous contrôle macOS, Windows et Linux, avec un accent particulier sur les portefeuilles basés sur un navigateur et les informations de connexion.
Selon la société de sécurité Mosyle, le code malveillant Il a passé près d'un mois sans être détecté par les principaux moteurs antivirus après avoir été téléchargés sur VirusTotal, augmentant le risque pour ceux qui s'appuient uniquement sur des défenses basées sur les signatures.
Qu'est-ce que ModStealer et comment fonctionne-t-il ?
ModStealer est un voleur d'informations Destiné à vider les portefeuilles et à collecter des données sensibles. Il utilise un script. JavaScript/NodeJS fortement obscurci pour contourner les signatures connues, facilitant l'exécution silencieuse et l'exfiltration de données sans éveiller les soupçons.
Une fois l’ordinateur compromis, le logiciel malveillant permet capture du presse-papiers, captures d'écran et l'exécution de commandes à distance, donnant aux attaquants un contrôle étendu sur le système affecté.
Les chercheurs ont également observé une logique spécifique pour attaquer 56 extensions de portefeuille dans les navigateurs, y compris les extensions Safari et les navigateurs basés sur Chromium, dans le but d'extraire clés privées, certificats et fichiers d'informations d'identification.
Voies d'infection : de faux emplois ciblant les développeurs
La campagne est diffusée à travers fausses annonces d'emploi ciblant les développeurs et les créateurs de l'écosystème Web3. Dans de nombreux cas, les attaquants demandent de compléter « tâches de test » ou téléchargez des packages soi-disant inoffensifs qui installent en réalité le code ModStealer.
Cette approche recherche des équipes où il existe déjà Node.js ou des environnements de développement similaires, maximisant la probabilité d'exécution du script et minimisant les alertes pendant le processus d'installation.
Persistance dans macOS et infrastructure de commande et de contrôle
Sur les appareils Apple, les logiciels malveillants abusent launchctl s'inscrire en tant que Agent de lancement et assurer sa permanence après les redémarrages, en s'intégrant comme un processus d'arrière-plan sans attirer l'attention de l'utilisateur.
Les informations volées sont envoyées à un serveur Commandement et contrôle (C2) hébergé en Finlande, bien que l'infrastructure semble traverser l'Allemagne pour cacher la véritable origine des opérateurs.
Les signes de compromission incluent la présence d’un fichier caché « .sysupdater.dat » et des connexions sortantes inhabituelles vers des domaines suspects, des signaux utiles pour les équipes d'intervention en cas d'incident.
Un cas de Malware-as-a-Service en pleine expansion
Les chercheurs placent ModStealer dans le modèle Logiciels malveillants en tant que service (MaaS), où les développeurs vendent des packages prêts à l'emploi à des affiliés ayant peu d'expérience technique, facilitant ainsi la prolifération de voleurs d'infos.
Dans le même ordre d’idées, les rapports de l’industrie, tels que ceux de Jamf, soulignent augmentation significative de ce type de menaces dans les environnements Mac, une tendance qui renforce le besoin de contrôles de sécurité au-delà de la simple détection de signature.
Impact sur l'écosystème crypto et récentes attaques de la chaîne d'approvisionnement
La découverte coïncide avec des incidents survenus NPM, où des packages malveillants (tels que colortoolsv2 et mimelib2) ont tenté échanger des adresses de destination dans les transactions sur Ethereum, Solana et d'autres réseaux, en tirant parti de la confiance des développeurs dans les référentiels populaires.
Suite aux avertissements du directeur technique de Ledger, Charles Guillemet, l'impact direct est resté limité, pertes approximatives de 1.000 XNUMX $, et des équipes comme Uniswap, MetaMask, Aave, Sui, Trezor et Lido signalent qu'elles n'ont pas été affectées ; néanmoins, l'épisode montre comment ces types d'attaques s'intensifient rapidement.
Mesures pratiques pour les utilisateurs et les équipes techniques
Contre des menaces comme ModStealer, il est conseillé de renforcer le hygiène du portefeuille et sécurité des terminaux, combinant les bonnes pratiques avec une surveillance basée sur le comportement.
- Utilisez des portefeuilles matériels et confirmez l'adresse de destination à l'écran (vérifiez au moins les six premiers et derniers caractères).
- Maintenez un navigateur ou un profil d'appareil dédié au portefeuille ; interagissez uniquement avec des extensions de confiance.
- Enregistrez les phrases de départ hors ligne ; activez MFA et, si possible, utilisez les codes d'accès FIDO2.
- Séparez strictement l'environnement de développement (« dev box ») du portefeuille (« wallet box ») et ouvrez les tâches de test dans un seul machine virtuelle jetable.
- Vérifiez les recruteurs et les domaines ; demandez que les tests soient partagés via des référentiels publics.
- Appliquer une surveillance continue et une détection comportementale ; maintenir OS, navigateurs et extensions à jour.
Pour les développeurs, c'est essentiel vérifier la légitimité de toute proposition de travail et méfiez-vous des fichiers ou scripts reçus via des canaux non vérifiés, surtout s'ils sont liés à Node.js.
ModStealer confirme que le vol d'informations évolue vers des campagnes plus ciblées et discrètes ; la combinaison de Obfuscation, persistance et C2 Cela rend la détection difficile, mais une stratégie qui inclut la segmentation de l’environnement, les portefeuilles matériels et la détection basée sur le comportement peut réduire considérablement la surface d’attaque.
