新型ModStealer惡意軟體竊取所有系統上的加密貨幣金鑰

• ModStealer 惡意軟體可竊取 macOS、Windows 和 Linux 系統上的加密貨幣錢包資料。
• 它主要透過偽造的招聘廣告，利用未被偵測的 JavaScript 代碼任務進行傳播。
• 研究人員警告，防毒工具無法偵測此惡意軟體，突顯出建立新防禦措施的必要性。

一種新發現的惡意軟體 ModStealer 正針對 macOS、Windows 和 Linux 上的加密貨幣用戶，威脅錢包及存取憑證。專注於 Apple 的安全公司 Mosyle 在發現該惡意軟體在主要防毒引擎下近一個月未被偵測後，揭露了這一變種。根據消息來源，該惡意軟體已被上傳至 VirusTotal，一個檢查檔案是否含有惡意內容的線上平台。

Mosyle 報告指出，ModStealer 內建預載代碼，能夠提取私鑰、憑證、認證檔案及基於瀏覽器的錢包擴充功能。該公司發現其針對多種錢包的邏輯，包括安裝於 Safari 及 Chromium 架構瀏覽器上的錢包。

研究人員表示，ModStealer 會在 macOS 上註冊為背景代理程式以維持持續性。他們追蹤到該惡意軟體的伺服器基礎設施位於芬蘭，但相信其路徑經過德國，以掩蓋操作者的真實位置。

透過欺騙性招聘進行傳播

分析顯示，ModStealer 正透過針對開發者的偽造招聘廣告進行傳播。攻擊者發送嵌入高度混淆 JavaScript 檔案的職務相關任務，以規避偵測。該檔案包含預載腳本，針對 56 款瀏覽器錢包擴充功能（包括 Safari），從而竊取密鑰及敏感資料。

Mosyle 證實，Windows 和 Linux 系統同樣易受攻擊。這使得 ModStealer 成為少數具有廣泛跨平台威脅的活躍惡意軟體之一。

該公司表示，ModStealer 符合惡意軟體即服務（MaaS）的特徵。在這種模式下，網路犯罪分子建立現成的資訊竊取工具包，並出售給缺乏技術能力的聯盟夥伴。這一趨勢在2025年加速了攻擊事件，Jamf 報告今年資訊竊取活動增加了28%。

Mosyle 指出：「對於安全專業人員、開發者及最終用戶而言，這再次提醒僅依賴特徵碼式防護遠遠不夠。持續監控、行為式防禦及對新興威脅的警覺，對於領先於攻擊者至關重要。」

資訊竊取工具的擴展能力

除了竊取擴充功能外，ModStealer 還具備多項其他能力。它會劫持剪貼簿，將複製的錢包地址替換為攻擊者的地址。這使攻擊者能夠執行遠端代碼、擷取螢幕或外洩檔案。

在 macOS 上，惡意軟體利用 LaunchAgents 來確保持續性。即使系統重啟，惡意程式仍能運作，對受感染機器構成長期風險。

Mosyle 解釋，ModStealer 的構建與其他 MaaS 平台的結構極為相似。聯盟夥伴可取得全功能惡意軟體套件，並能自訂攻擊方式。該公司補充，這種模式正推動資訊竊取工具在不同作業系統及產業中的擴張。

2025年初，透過惡意 npm 套件、受損依賴項及偽造擴充功能的攻擊，揭示了攻擊者如何進入開發者原本信任的環境。ModStealer 作為這一演進的下一步，能夠嵌入看似合法的工作流程，使其更難被偵測。

相關閱讀：

從程式漏洞到信任操控的轉變

過往加密貨幣領域的安全漏洞多因智能合約或錢包軟體的弱點而出現。但 ModStealer 代表著範式轉移。攻擊者不再僅僅利用漏洞或零日攻擊，而是劫持信任。

他們操控開發者與招聘人員的互動，讓人誤以為工具安全，並過度依賴已知的防毒防護。這種做法使人為因素成為資安防護中最薄弱的一環。

安全專家建議採取嚴格措施。用戶應透過獨立機器或虛擬環境隔離錢包操作。開發者應仔細審查招聘任務，並在執行代碼前調查來源及倉庫。他們同時建議，應從單純特徵碼式防毒系統，轉向行為式防毒偵測工具、EDR 解決方案及執行時監控。

其他專家建議包括定期審查瀏覽器擴充功能、限制權限及及時更新軟體。他們認為這樣做能降低基於 ModStealer 的威脅暴露。