Conform firmei de securitate pentru dispozitive Apple, Mosyle, o nouă tulpină de malware, creată special pentru a fura datele portofelelor crypto, trece neobservată de toate motoarele majore de antivirus. Denumit ModStealer, acest infostealer este activ de aproape o lună fără a fi detectat de scanerele de viruși.
Cercetătorii Mosyle spun că malware-ul este distribuit prin anunțuri malițioase de recrutare care vizează dezvoltatorii și utilizează un script NodeJS puternic obfuscat pentru a ocoli mecanismele de apărare bazate pe semnături.
Aceasta înseamnă că codul malware-ului a fost amestecat și acoperit cu trucuri care îl fac ilizibil pentru instrumentele antivirus bazate pe semnături. Deoarece aceste mecanisme de apărare se bazează pe detectarea unor „modele” de cod recognoscibile, obfuscare le ascunde, permițând scriptului să execute fără a fi detectat. În practică, acest lucru permite atacatorilor să introducă instrucțiuni malițioase într-un sistem, ocolind în același timp scanările de securitate tradiționale care ar prinde de obicei codul mai simplu, nemodificat.
Spre deosebire de majoritatea malware-urilor axate pe Mac, ModStealer este multiplatformă, afectând și mediile Windows și Linux. Misiunea sa principală este cea de exfiltrare a datelor, iar codul se presupune că include instrucțiuni preîncărcate pentru a viza 56 de extensii de portofel de browser, concepute pentru a extrage chei private, acreditări și certificate.
Malware-ul acceptă, de asemenea, deturnarea clipboard-ului, captura ecranului și execuția de cod de la distanță, oferind atacatorilor posibilitatea de a prelua controlul aproape total asupra dispozitivelor infectate. Pe macOS, persistența este realizată prin intermediul instrumentului de lansare Apple, încorporându-se ca LaunchAgent.
Mosyle afirmă că construcția se aliniază cu profilul „Malware-as-a-Service”, unde dezvoltatorii vând instrumente gata făcute afiliaților cu expertiză tehnică limitată. Modelul a dus la o creștere a infostealerilor în acest an, Jamf raportând o creștere de 28% doar în 2025.
Descoperirea vine în urma atacurilor recente axate pe npm, unde pachete malițioase precum colortoolsv2 și mimelib2 au folosit contracte inteligente Ethereum pentru a ascunde malware de a doua etapă. În ambele cazuri, atacatorii au utilizat obfuscare și infrastructură de dezvoltator de încredere pentru a ocoli detectarea.
ModStealer extinde acest model dincolo de depozitele de pachete, arătând modul în care criminalii cibernetici își escaladează tehnicile în ecosisteme pentru a compromite mediile de dezvoltare și a viza direct portofelele crypto.