Bagong ModStealer Malware Nagnanakaw ng Crypto Keys sa Lahat ng Sistema

• Ang ModStealer malware ay nagnanakaw ng crypto wallet data sa macOS, Windows, at Linux systems.
• Pangunahing kumakalat ito sa pamamagitan ng pekeng recruiter ads gamit ang hindi natutuklasang JavaScript code tasks.
• Binalaan ng mga mananaliksik na hindi natutukoy ng antivirus tools ang malware, na nagpapakita ng pangangailangan para sa mga bagong depensa.

Isang bagong natuklasang malware na tinatawag na ModStealer ang tumatarget sa mga crypto user sa macOS, Windows, at Linux, na nagbabanta sa mga wallet at access credentials. Natuklasan ng Apple-focused security firm na Mosyle ang strain matapos matuklasan na ito ay nanatiling hindi natutukoy ng mga pangunahing antivirus engine sa halos isang buwan. Ayon sa mga source, ang malware ay na-upload sa VirusTotal, isang online platform na sumusuri ng mga file para sa malisyosong nilalaman.

Iniulat ng Mosyle na ang ModStealer ay dinisenyo gamit ang pre-loaded code na kayang kumuha ng mga private key, certificate, credential files, at browser-based wallet extensions. Natuklasan ng kumpanya ang targeting logic para sa maraming wallet, kabilang ang mga naka-install sa Safari at Chromium-based browsers.

Ayon sa mga mananaliksik, nananatili ang ModStealer sa macOS sa pamamagitan ng pagrerehistro bilang background agent. Natunton nila ang server infrastructure ng malware sa Finland ngunit naniniwala silang dumadaan ito sa Germany upang itago ang lokasyon ng mga operator nito.

Pagkalat sa Pamamagitan ng Mapandayang Recruitment

Ipinakita ng pagsusuri na kumakalat ang ModStealer sa pamamagitan ng mga pekeng recruiter ads na tumatarget sa mga developer. Nagpapadala ang mga attacker ng mga job-related tasks na may kasamang heavily obfuscated JavaScript file na idinisenyo upang makaiwas sa detection. Ang file na ito ay naglalaman ng pre-loaded scripts na tumatarget sa 56 browser wallet extensions, kabilang ang Safari, na nagpapahintulot sa pagnanakaw ng mga key at sensitibong data.

Kumpirmado ng Mosyle na parehong Windows at Linux systems ay mahina rin. Ginagawa nitong isa ang ModStealer sa kakaunting aktibong banta na may malawak na cross-platform reach.

Ipinahayag ng kumpanya na ang ModStealer ay tumutugma sa profile ng Malware-as-a-Service (MaaS). Sa modelong ito, gumagawa ang mga cybercriminal ng ready-made infostealer kits at ibinebenta ito sa mga affiliate na maaaring walang teknikal na kasanayan. Ang trend na ito ay nagpalala ng mga pag-atake sa 2025, kung saan iniulat ng Jamf ang 28% pagtaas sa infostealer activity ngayong taon.

Binanggit ng Mosyle, “Para sa mga security professional, developer, at end user, ito ay isang matinding paalala na hindi sapat ang signature-based protections lamang. Mahalaga ang tuloy-tuloy na monitoring, behavior-based defenses, at kamalayan sa mga bagong banta upang manatiling nangunguna laban sa mga kalaban.”

Palawak na Kakayahan ng mga Infostealer

Marami pang ibang kakayahan ang ModStealer bukod sa pagnanakaw ng mga extension. Hinahijack nito ang clipboard sa pamamagitan ng pagpapalit ng kinopyang wallet address ng address ng mga attacker. Pinapayagan nito ang mga attacker na magsagawa ng remote code execution, kumuha ng screenshot, o mag-exfiltrate ng mga file. 

Sa macOS, ginagamit ng malware ang LaunchAgents upang matiyak ang persistence. Pinananatili nitong gumagana ang malisyosong programa kahit na mag-reboot ang system, na nagdudulot ng pangmatagalang panganib sa mga apektadong makina.

Ipinaliwanag ng Mosyle na ang build ng ModStealer ay halos kapareho ng estruktura ng iba pang MaaS platforms. Nagkakaroon ng access ang mga affiliate sa full-function malware kits at maaaring i-customize ang kanilang mga pag-atake. Dagdag pa ng kumpanya, ang modelong ito ay nagpapalawak ng paglaganap ng mga infostealer sa iba’t ibang operating system at industriya.

Noong unang bahagi ng 2025, ang mga pag-atake sa pamamagitan ng malisyosong npm packages, compromised dependencies, at pekeng extension ay nagpakita kung paano nakakapasok ang mga kalaban sa mga pinagkakatiwalaang environment ng mga developer. Ang ModStealer, bilang susunod na hakbang sa ganitong ebolusyon, ay nagagawang i-embed ang sarili sa mga lehitimong workflow kaya’t lalong mahirap itong matukoy.

Kaugnay:

Paglipat Mula sa Code Bugs Patungo sa Manipulasyon ng Tiwala

Ang mga security breach ay karaniwang lumilitaw sa crypto scene dahil sa mga kahinaan sa smart contract o wallet software. Ngunit ang ModStealer ay bahagi ng isang paradigm shift. Hindi na lamang sila umaasa sa pag-exploit ng bugs o zero-days; kinukuha na nila ang tiwala.

Minamanipula nila kung paano nakikipag-ugnayan ang mga developer sa mga recruiter, ipinapalagay na ligtas ang mga tool, at labis na umaasa sa kilalang antivirus protections. Ginagawa nitong ang human element ang pinakamahinang bahagi ng cybersecurity.

Nagbibigay ng payo ang mga security expert ng mahigpit na pag-iingat. Dapat ihiwalay ng mga user ang wallet activities gamit ang hiwalay na makina o virtual environment. Dapat suriing mabuti ng mga developer ang mga recruiter task at imbestigahan ang mga source at repository bago magpatakbo ng code. Inirerekomenda rin nilang lumayo sa purely signature-based antivirus systems at gumamit ng behavior-based antivirus detection tools, EDR solutions, at runtime monitoring.

Kabilang sa iba pang rekomendasyon ng mga eksperto ang regular na pag-audit ng browser extensions, limitadong permissions, at software updates. Naniniwala silang makakatulong ito upang mabawasan ang exposure sa banta ng ModStealer.