网络安全公司 Mosyle 发现了一种名为 ModStealer 的新型跨平台恶意软件。自近一个月前在 VirusTotal 上出现以来,该恶意软件一直未被主流杀毒平台检测到。该恶意软件能够绕过基于签名的检测方法,专门用于窃取数据,包括加密货币钱包凭证和私钥。它针对包括 Safari 在内的 56 款浏览器钱包扩展程序,并可在 macOS、Windows 和 Linux 环境中运行。
Mosyle 的分析表明,ModStealer 通过恶意招聘广告传播,主要针对开发人员。该恶意软件使用 NodeJS 编写的经过高度混淆的 JavaScript 代码,使其对传统反病毒工具不可见。安装后,ModStealer 会利用 macOS 上的 Apple launchctl 工具实现持久化,并将自身嵌入到 LaunchAgent 中。它会悄悄地监视系统活动,并将敏感数据传输到远程服务器。该服务器位于芬兰,并与德国的基础设施相连,据信用于掩盖操纵者的真实位置。
该恶意软件还包含剪贴板和屏幕截图功能,其中最令人担忧的功能是远程代码执行,这可能使攻击者完全控制受感染的系统。研究人员强调,ModStealer 的隐蔽性和跨平台特性使其格外危险,因为它可以规避传统防御机制,并在长时间内不被发现。
Mosyle 怀疑 ModStealer 采用恶意软件即服务 (MaaS) 模式运营,即网络犯罪开发者将现成的恶意软件包出售给技术水平较低的关联方。近年来,这种商业模式有所增长,尤其是在信息窃取工具的传播方面。Mosyle 表示,MaaS 模式甚至能让非技术参与者发动复杂的网络攻击。早在 2025 年,
报告称信息窃取恶意软件增加了 28%,现已成为 Mac 恶意软件中的领头羊。针对这一发现,Mosyle 敦促组织和个人超越基于签名的安全解决方案。该公司强调持续监控、基于行为的检测系统以及增强对新兴威胁的认知,以应对不断演变的网络风险。建议安全专业人员保持警惕,尤其是在处理可疑电子邮件附件或访问未经验证的网站时,因为这些是此类恶意软件的常见载体。
