Рынки
Поделиться этой статьей

Этот невидимый «ModStealer» нацеливается на ваши криптокошельки, работающие через браузер

Код содержит предзагруженные инструкции для атаки на 56 расширений браузерных кошельков и предназначен для извлечения приватных ключей, учетных данных и сертификатов.

Автор Shaurya Malwa|Редактор Parikshit Mishra
Обновлено 12 сент. 2025 г., 3:21 p.m. Опубликовано 12 сент. 2025 г., 6:44 a.m. Переведено ИИ
Hacker sitting in a room (Clint Patterson/Unsplash/Modified by CoinDesk)
Hacker sitting in a room (Clint Patterson/Unsplash/Modified by CoinDesk)

Что нужно знать:

  • Новый вид вредоносного ПО под названием ModStealer обходят основные антивирусные движки и нацеливается на данные криптовалютных кошельков.
  • ModStealer использует обфусцированные скрипты NodeJS для обхода защит, основанных на сигнатурах, и распространяется через вредоносные объявления рекрутеров.
  • Вредоносное ПО затрагивает Windows, Linux и macOS, поддерживая эксфильтрацию данных, перехват буфера обмена и удалённое выполнение кода.

По данным компании Mosyle, специализирующейся на безопасности устройств Apple, новый вид вредоносного ПО, разработанный специально для кражи данных криптовалютных кошельков, проходит незамеченным мимо всех основных антивирусных систем.

Под названием ModStealer инфошпион работает уже почти месяц, не будучи обнаруженным антивирусными сканерами. Исследователи из Mosyle сообщают, что вредоносное ПО распространяется через вредоносные рекламные объявления рекрутеров, нацеленных на разработчиков, и использует сильно обфусцированный скрипт NodeJS для обхода систем защиты, основанных на сигнатурах.

Продолжение Читайте Ниже
Не пропустите другую историю.Подпишитесь на рассылку Crypto Daybook Americas сегодня. Просмотреть все рассылки
By signing up, you will receive emails about CoinDesk products and you agree to our terms & conditions and политика конфиденциальности.

Это означает, что код вредоносного ПО был зашифрован и дополнен приемами, которые делают его нечитаемым для антивирусных программ, основанных на сигнатурах. Поскольку такие системы защиты полагаются на обнаружение узнаваемых «шаблонов» кода, обфускация скрывает их, позволяя скрипту выполняться без обнаружения.

На практике это позволяет злоумышленникам внедрять вредоносные инструкции в систему, обходя при этом традиционные проверки безопасности, которые обычно выявляют более простые, неизменённые коды.

В отличие от большинства вредоносных программ, ориентированных на Mac, ModStealer является кроссплатформенным и также атакует среды Windows и Linux. Его основная задача — кража данных, при этом предполагается, что код содержит предустановленные инструкции для нацеливания на 56 расширений браузерных кошельков, предназначенных для извлечения закрытых ключей, учетных данных и сертификатов.

Вредоносное ПО также поддерживает перехват буфера обмена, захват экрана и удалённое выполнение кода, предоставляя злоумышленникам возможность получить практически полный контроль над заражёнными устройствами. В macOS устойчивость достигается с помощью инструмента запуска Apple, внедряясь в систему как LaunchAgent.

Mosyle заявляет, что эта сборка соответствует профилю «Malware-as-a-Service», при котором разработчики продают готовые инструменты аффилиатам с ограниченными техническими навыками. Эта модель вызвала рост числа инфостиллеров в этом году, при этом Jamf сообщает о 28%-ном увеличении только в 2025 году.

Это открытие последовало за недавними атаками, ориентированными на npm, в ходе которых вредоносные пакеты, такие как colortoolsv2 и mimelib2, использовали смарт-контракты Ethereum для сокрытия вторичной стадии вредоносного ПО. В обоих случаях злоумышленники использовали обфускацию и доверенную инфраструктуру разработчиков для обхода системы обнаружения.

ModStealer расширяет эту практику за пределы репозиториев пакетов, демонстрируя, как киберпреступники усиливают свои методы во всех экосистемах для компрометации сред разработчиков и прямого нацеливания на криптокошельки.

Hackcrypto wallet