Deze onzichtbare 'ModStealer' richt zich op uw browsergebaseerde cryptoportefeuilles

Een nieuwe variant van malware, speciaal ontwikkeld om crypto wallet-gegevens te stelen, weet langs alle grote antivirusprogramma's te glippen, volgens Apple-apparaatbeveiligingsbedrijf Mosyle.

Met de naam ModStealer, is de infostealer bijna een maand actief zonder gedetecteerd te worden door virus scanners. Onderzoekers van Mosyle geven aan dat de malware wordt verspreid via kwaadaardige recruiter advertenties die zich richten op ontwikkelaars en gebruikt een zwaar geobfusceerd NodeJS-script om signature-gebaseerde verdedigingen te omzeilen.

Dat betekent dat de code van de malware is versleuteld en gelaagd met technieken die het onleesbaar maken voor op handtekeningen gebaseerde antivirusprogramma's. Omdat deze verdedigingsmiddelen afhankelijk zijn van het herkennen van herkenbare code-"patronen", verbergt de obfuscatie deze, waardoor het script zonder detectie kan worden uitgevoerd.

In de praktijk stelt dit aanvallers in staat om kwaadaardige instructies in een systeem te sluipen, terwijl ze traditionele beveiligingsscans omzeilen die normaal gesproken eenvoudigere, onveranderde code zouden detecteren.

In tegenstelling tot de meeste malware die zich richt op Mac, is ModStealer cross-platform en treft het ook Windows- en Linux-omgevingen. De primaire missie is gegevensuitval, waarbij wordt aangenomen dat de code vooraf geladen instructies bevat om 56 browserwallet-extensies te targeten die zijn ontworpen om private keys, inloggegevens en certificaten te ontfutselen.

De malware ondersteunt ook het kapen van het klembord, het vastleggen van het scherm en het uitvoeren van code op afstand, waardoor aanvallers bijna volledige controle over geïnfecteerde apparaten kunnen overnemen. Op macOS wordt persistentie bereikt via de lanceringshulpmiddel van Apple, waarbij het zichzelf embedt als een LaunchAgent.

Mosyle stelt dat de build overeenkomt met het profiel van “Malware-as-a-Service,” waarbij ontwikkelaars kant-en-klare tools verkopen aan affiliates met beperkte technische expertise. Het model heeft dit jaar geleid tot een sterke toename van infostealers, waarbij Jamf alleen al in 2025 een stijging van 28% meldt.

De ontdekking volgt op recente npm-gerichte aanvallen waarbij kwaadaardige pakketten zoals colortoolsv2 en mimelib2 gebruikmaakten van Ethereum smart contracts om malware in een tweede fase te verbergen. In beide gevallen maakten aanvallers gebruik van obfuscatie en vertrouwde ontwikkelaarinfrastructuur om detectie te omzeilen.

ModStealer breidt dit patroon uit voorbij pakketrepositories en toont aan hoe cybercriminelen hun technieken escaleren over verschillende ecosystemen om ontwikkelomgevingen te compromitteren en rechtstreeks cryptowallets te targeten.