一种新的恶意软件变种于周四被发现，它能够绕过杀毒软件检查，并从Windows、Linux和macOS系统上的加密钱包中窃取数据。

该恶意软件被称为ModStealer，在披露时，它在主要杀毒引擎中几乎未被检测到近一个月，其包通过针对开发者的虚假招聘广告进行传播。

根据安全公司Mosyle的披露，初步的报告来自9to5Mac。Decrypt已联系Mosyle以获取更多信息。

根据Mosyle的说法，通过虚假招聘广告进行分发是一种有意的策略，因为它旨在接触那些可能已经在使用或安装了Node.js环境的开发者。

区块链安全公司Slowmist的首席信息安全官Shān Zhang告诉Decrypt：“ModStealer能够躲避主流杀毒解决方案的检测，并对更广泛的数字资产生态系统构成重大风险。与传统的窃取工具不同，ModStealer因其多平台支持和隐秘的‘零检测’执行链而脱颖而出。”

一旦执行，该恶意软件会扫描基于浏览器的加密钱包扩展、系统凭证和数字证书。

然后，Zhang解释道，它会“将数据外泄到远程C2服务器”。C2或“指挥与控制”服务器是网络犯罪分子用来管理和控制网络中被攻陷设备的集中系统，充当恶意软件和网络攻击的操作中心。

在运行macOS的苹果硬件上，该恶意软件通过一种“持久性方法”设置自己，以便每次计算机启动时自动运行，伪装成后台辅助程序。

该设置使其在用户未注意的情况下静默运行。根据披露，感染的迹象包括一个名为“.sysupdater.dat”的秘密文件和与可疑服务器的连接。

Zhang表示：“虽然单独存在时很常见，但这些持久性方法结合强大的混淆技术使ModStealer对基于签名的安全工具具有抗性。”

ModStealer的发现恰逢Ledger首席技术官Charles Guillemet的相关警告，他在周二披露攻击者已攻陷一个NPM开发者账户，并试图传播恶意代码，该代码可能在交易过程中悄悄替换加密钱包地址，导致多个区块链上的资金面临风险。

尽管该攻击早期被检测到并失败，Guillemet后来指出，被攻陷的包已与以太坊、Solana和其他链挂钩。

“如果你的资金存放在软件钱包或交易所，你就只需一次代码执行就可能失去一切。”Guillemet在他最初警告后的几个小时内发推说道。

在被问及新恶意软件可能的影响时，Zhang警告说，ModStealer对加密用户和平台构成“直接威胁”。

对于最终用户来说，“私钥、种子短语和交易所API密钥可能会被攻陷，导致直接的资产损失，”Zhang说，并补充道，对于加密行业来说，“浏览器扩展钱包数据的大规模盗窃可能引发大规模链上攻击，侵蚀信任并加大供应链风险。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。