这种隐形的“ModStealer”正瞄准您的浏览器加密钱包

据苹果设备安全公司 Mosyle 称，一种专门用于窃取加密 钱包数据的新型恶意软件正绕过所有主流杀毒引擎。

被称为ModStealer的信息窃取恶意软件，已经在未被病毒扫描器检测出的情况下运行近一个月。Mosyle的研究人员表示，该恶意软件通过针对开发者的恶意招聘广告进行传播，并使用高度混淆的NodeJS脚本绕过基于签名的防御机制。

这意味着恶意软件的代码已被混淆并叠加了多种技巧，使基于特征码的杀毒工具无法读取。由于这些防御机制依赖于识别可识别的代码“模式”，混淆技术隐藏了这些模式，从而使脚本能够在不被检测的情况下执行。

在实际操作中，这使得攻击者能够在绕过通常会捕捉到更简单、未更改代码的传统安全扫描的情况下，将恶意指令注入系统。

与大多数针对 Mac 的恶意软件不同，ModStealer 是跨平台的，同样影响 Windows 和 Linux 环境。其主要任务是数据窃取，且代码被推测预装了针对 56 个浏览器钱包扩展的指令，旨在提取私钥、凭证和证书。

该恶意软件还支持剪贴板劫持、屏幕捕获及远程代码执行，赋予攻击者几乎完全控制受感染设备的能力。在 macOS 上，其通过苹果的启动工具实现持久化，嵌入为 LaunchAgent。

Mosyle 表示，此次构建符合“恶意软件即服务（Malware-as-a-Service）”的特征，该模式下，开发者向技术能力有限的代理商出售现成工具。该模式今年推动了信息窃取软件的激增，Jamf报告称仅2025年就增长了28%。

这一发现紧随近期针对 npm 的攻击之后，其中恶意软件包如 colortoolsv2 和 mimelib2 利用以太坊智能合约来隐藏第二阶段恶意软件。在这两起事件中，攻击者均利用混淆技术和受信任的开发者基础设施以规避检测。

ModStealer 将此模式扩展到包管理仓库之外，展示了网络犯罪分子如何在各大生态系统中升级其手法，以破坏开发者环境并直接针对加密货币钱包。