이 보이지 않는 'ModStealer'가 브라우저 기반 암호화폐 지갑을 겨냥하고 있습니다

애플 기기 보안 업체 모사일(Mosyle)에 따르면, 암호화폐 지갑 데이터를 탈취하도록 특별히 제작된 새로운 유형의 악성코드가 주요 모든 안티바이러스 엔진을 우회하고 있습니다.

ModStealer로 불리는 이 정보 탈취 악성코드는 거의 한 달 동안 바이러스 스캐너에 의해 탐지되지 않은 채 활성 상태를 유지해 왔습니다. Mosyle 연구진에 따르면, 이 악성코드는 개발자를 대상으로 한 악성 채용 광고를 통해 배포되고 있으며, 서명 기반 방어를 우회하기 위해 고도로 난독화된 NodeJS 스크립트를 사용하고 있다고 밝혔습니다.

이는 해당 악성코드의 코드가 난독화되고 여러 가지 기법으로 계층화되어 시그니처 기반 안티바이러스 도구로는 판독이 불가능하다는 의미입니다. 이러한 방어체계는 인식 가능한 코드 “패턴”을 탐지하는 데 의존하기 때문에, 난독화 기법은 이를 숨겨 스크립트가 탐지 없이 실행될 수 있도록 합니다.

실제로 이는 공격자들이 전통적인 보안 검사에서 보통 발견되는 단순하고 변경되지 않은 코드를 우회하여, 시스템 내에 악성 지시를 주입할 수 있게 합니다.

대부분의 Mac 중심 악성코드와 달리, ModStealer는 교차 플랫폼으로 Windows 및 Linux 환경에도 영향을 미칩니다. 주요 임무는 데이터 탈취이며, 코드에는 개인 키, 자격 증명 및 인증서를 추출하기 위해 설계된 56개의 브라우저 지갑 확장 프로그램을 대상으로 하는 사전 로드된 명령어가 포함된 것으로 추정됩니다.

이 악성 코드는 클립보드 하이재킹, 화면 캡처 및 원격 코드 실행을 지원하여 공격자가 감염된 장치를 거의 완전히 제어할 수 있도록 합니다. macOS에서는 Apple의 실행 도구를 통해 지속성을 확보하며, LaunchAgent로 자체를 삽입합니다.

Mosyle는 이 빌드가 기술 전문성이 제한된 제휴사에게 기성 도구를 판매하는 “서비스형 악성코드(Malware-as-a-Service)” 프로필과 일치한다고 밝혔습니다. 이 모델은 올해 인포스틸러 증가를 촉진했으며, Jamf는 2025년에만 28% 상승했다고 보고했습니다.

이번 발견은 colortoolsv2와 mimelib2와 같은 악성 패키지가 이더리움 스마트 계약을 이용해 2단계 악성코드를 은폐한 최근의 npm 중심 공격에 이은 것입니다. 두 경우 모두 공격자들은 난독화와 신뢰받는 개발자 인프라를 활용하여 탐지를 우회하였습니다.

ModStealer는 이 패턴을 패키지 저장소를 넘어 확장하여, 사이버 범죄자들이 개발자 환경을 침해하고 암호화폐 지갑을 직접 표적으로 삼기 위해 생태계 전반에 걸쳐 기술을 고도화하는 방법을 보여줍니다.