Compartir este artículo
El sigiloso "ModStealer" apunta a las billeteras de criptomonedas basadas en navegador
El código incluye instrucciones pre-cargadas para atacar 56 extensiones de billeteras de navegador y está diseñado para extraer claves privadas, credenciales y certificados.
Lo que debes saber:
- Una nueva cepa de malware llamada ModStealer está evadiendo los principales motores antivirus y apuntando a datos de billeteras criptográficas.
- ModStealer utiliza scripts de NodeJS ofuscados para evadir las defensas basadas en firmas y se distribuye a través de anuncios maliciosos de reclutadores.
- El malware afecta a Windows, Linux y macOS, y soporta la exfiltración de datos, el secuestro del portapapeles y la ejecución remota de código.
Una nueva variante de malware diseñada específicamente para robar datos de billeteras criptográficas está evadiendo todos los principales motores antivirus, según la firma de seguridad para dispositivos Apple Mosyle.
Apodado ModStealer, el infostealer ha estado activo durante casi un mes sin ser detectado por los escáneres de virus. Investigadores de Mosyle afirman que el malware se está distribuyendo a través de anuncios maliciosos de reclutadores dirigidos a desarrolladores y utiliza un script de NodeJS altamente ofuscado para evadir las defensas basadas en firmas.
CONTINÚA MÁS ABAJO
No te pierdas otra historia.Suscríbete al boletín de Crypto Daybook Americas hoy. Ver todos los boletines
Eso significa que el código del malware ha sido encriptado y compuesto con técnicas que lo hacen ilegible para las herramientas antivirus basadas en firmas. Dado que estas defensas dependen de detectar “patrones” de código reconocibles, la ofuscación los oculta, permitiendo que el script se ejecute sin ser detectado.
En la práctica, esto permite a los atacantes insertar instrucciones maliciosas en un sistema mientras evitan los escaneos de seguridad tradicionales que normalmente detectarían código más simple y sin alteraciones.
A diferencia de la mayoría del malware enfocado en Mac, ModStealer es multiplataforma, afectando también a entornos Windows y Linux. Su misión principal es la exfiltración de datos, y se presume que el código incluye instrucciones predefinidas para atacar 56 extensiones de billeteras de navegador diseñadas para extraer claves privadas, credenciales y certificados.
El malware también admite el secuestro del portapapeles, la captura de pantalla y la ejecución remota de código, otorgando a los atacantes la capacidad de tomar un control casi total de los dispositivos infectados. En macOS, la persistencia se logra a través de la herramienta de inicio de Apple, incrustándose como un LaunchAgent.
Mosyle declara que la versión se alinea con el perfil de “Malware como Servicio,” donde los desarrolladores venden herramientas listas para usar a afiliados con conocimientos técnicos limitados. El modelo ha impulsado un aumento en los robo de información este año, con Jamf reportando un incremento de 28% solo en 2025.
El hallazgo se produce tras recientes ataques centrados en npm, donde paquetes maliciosos como colortoolsv2 y mimelib2 utilizaron contratos inteligentes de Ethereum para ocultar malware de segunda etapa. En ambos casos, los atacantes aprovecharon la ofuscación y la infraestructura confiable de desarrolladores para evadir la detección.
ModStealer extiende este patrón más allá de los repositorios de paquetes, demostrando cómo los ciberdelincuentes están escalando sus técnicas a través de los ecosistemas para comprometer los entornos de desarrollo y dirigirse directamente a las billeteras criptográficas.
Este artículo, o partes del mismo, fue generado con asistencia de herramientas de IA y revisado por nuestro equipo editorial para garantizar la precisión y el cumplimiento de nuestros estándares. Para más información, consulte la política completa de IA de CoinDesk.
Más para ti
Lo que debes saber:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Más para ti
Coinbase anticipa recuperación criptográfica a medida que mejora la liquidez y aumentan las probabilidades de recorte de tasas por parte de la Fed
El intercambio de criptomonedas también destacó una llamada burbuja de IA que sigue fuerte y un dólar estadounidense más débil.
Lo que debes saber:
- Coinbase Institutional está observando una posible recuperación en criptomonedas para diciembre, citando una mejora en la liquidez y un cambio en las condiciones macroeconómicas que podrían favorecer a los activos de riesgo como el bitcoin.
- El optimismo de la firma se debe al aumento de las probabilidades de recortes en las tasas de la Reserva Federal, con los mercados descontando una probabilidad del 93% de alivio la próxima semana, y a la mejora de las condiciones de liquidez.
- Varios desarrollos institucionales recientes, incluyendo la reversión de la política de ETF de criptomonedas de Vanguard y la aprobación de asignaciones criptográficas por parte de Bank of America, han contribuido al repunte de bitcoin desde los mínimos recientes.
Historias Destacadas
