Mercados
Compartilhe este artigo

Este 'ModStealer' Invisível Está Alvejando Suas Carteiras Cripto Baseadas em Navegador

O código inclui instruções pré-carregadas para atingir 56 extensões de carteiras de navegador e é projetado para extrair chaves privadas, credenciais e certificados.

Por Shaurya Malwa|Editado por Parikshit Mishra
Atualizado 12 de set. de 2025, 3:21 p.m. Publicado 12 de set. de 2025, 6:44 a.m. Traduzido por IA
Hacker sitting in a room (Clint Patterson/Unsplash/Modified by CoinDesk)
Hacker sitting in a room (Clint Patterson/Unsplash/Modified by CoinDesk)

O que saber:

  • Uma nova cepa de malware chamada ModStealer está escapando dos principais mecanismos antivírus e visando dados de carteiras criptográficas.
  • ModStealer utiliza scripts NodeJS ofuscados para contornar defesas baseadas em assinaturas e é distribuído por meio de anúncios maliciosos de recrutadores.
  • O malware afeta Windows, Linux e macOS, suportando exfiltração de dados, sequestro da área de transferência e execução remota de código.

Uma nova variante de malware, especificamente desenvolvida para roubar dados de carteiras de criptomoedas, está passando despercebida por todos os principais mecanismos antivírus, segundo a empresa de segurança para dispositivos Apple Mosyle.

Apelidado de ModStealer, o infostealer está ativo há quase um mês sem ser detectado por scanners de vírus. Pesquisadores da Mosyle afirmam que o malware está sendo distribuído por meio de anúncios maliciosos de recrutadores que têm como alvo desenvolvedores e utiliza um script NodeJS fortemente ofuscado para contornar defesas baseadas em assinaturas.

A História Continua abaixo
Não perca outra história.Inscreva-se na Newsletter Crypto Daybook Americas hoje. Ver Todas as Newsletters
By signing up, you will receive emails about CoinDesk products and you agree to our terms & conditions and política de privacidade.

Isso significa que o código do malware foi embaralhado e sobreposto com truques que o tornam ilegível para ferramentas antivírus baseadas em assinaturas. Como essas defesas dependem da identificação de “padrões” de código reconhecíveis, a ofuscação os oculta, permitindo que o script seja executado sem detecção.

Na prática, isso permite que atacantes insiram instruções maliciosas em um sistema enquanto contornam verificações de segurança tradicionais que normalmente detectariam códigos mais simples e não alterados.

Ao contrário da maioria dos malwares focados em Mac, o ModStealer é multiplataforma, atingindo também ambientes Windows e Linux. Sua missão principal é a exfiltração de dados, e presume-se que o código inclua instruções pré-carregadas para atacar 56 extensões de carteiras de navegador, projetadas para extrair chaves privadas, credenciais e certificados.

O malware também suporta sequestro da área de transferência, captura de tela e execução remota de código, concedendo aos atacantes a capacidade de assumir controle quase total dos dispositivos infectados. No macOS, a persistência é alcançada por meio da ferramenta de inicialização da Apple, incorporando-se como um LaunchAgent.

A Mosyle declara que a construção está alinhada com o perfil de "Malware-como-Serviço", onde desenvolvedores vendem ferramentas prontas para afiliados com expertise técnica limitada. O modelo impulsionou um aumento nos infostealers este ano, com a Jamf relatando uma alta de 28% somente em 2025.

A descoberta surge logo após recentes ataques focados no npm, nos quais pacotes maliciosos como colortoolsv2 e mimelib2 utilizaram contratos inteligentes Ethereum para ocultar malware de segunda etapa. Em ambos os casos, os atacantes aproveitaram a obfuscação e a infraestrutura de desenvolvedores confiáveis para contornar a detecção.

ModStealer amplia esse padrão além dos repositórios de pacotes, mostrando como os cibercriminosos estão intensificando suas técnicas em diversos ecossistemas para comprometer ambientes de desenvolvedores e alvos diretamente as carteiras de criptoativos.

Hackcrypto wallet