Uma nova tensão de malware criada para roubar dados da carteira de criptografia está passando por todos os principais mecanismos antivírus, de acordo com a empresa de segurança de dispositivos da Apple Mosyle.
Apelidado de Modstealer, o Infotealer está ao vivo há quase um mês sem detecção de scanners de vírus. Os pesquisadores do Mosyle dizem que o malware está sendo distribuído por meio de anúncios de recrutador malicioso direcionados aos desenvolvedores e usa um script NodeJS fortemente ofuscado para ignorar as defesas baseadas em assinatura.
Isso significa que o código do malware foi embaralhado e em camadas com truques que o tornam ilegível para ferramentas antivírus baseadas em assinatura. Como essas defesas dependem da detecção de “padrões” de código reconhecível, a ofuscação as esconde, permitindo que o script seja executado sem detecção.
Na prática, isso permite que os invasores coloquem instruções maliciosas em um sistema, ignorando as varreduras tradicionais de segurança que geralmente capturam código mais simples e inalterado.
Ao contrário da maioria dos malware focado no MAC, o ModStealer é de plataforma cruzada, atingindo ambientes Windows e Linux também. Sua missão principal é a exfiltração de dados, e presume-se que o código inclua instruções pré-carregadas para segmentar 56 extensões de carteira do navegador, projetadas para extrair chaves, credenciais e certificados privados.
O malware também suporta seqüestro de transferência, captura de tela e execução remota de código, dando aos atacantes a capacidade de apreender o controle quase total dos dispositivos infectados. No MacOS, a persistência é alcançada através da ferramenta de lançamento da Apple, incorporando -se como um LaunchAgent.
Mosyle afirma que a construção se alinha com o perfil de “malware como serviço”, onde os desenvolvedores vendem ferramentas prontas para afiliadas com conhecimento técnico limitado. O modelo impulsionou um aumento nos InfoSoSealers este ano, com o JAMF relatando um aumento de 28% apenas em 2025.
A descoberta ocorre logo após ataques recentes focados na NPM, onde pacotes maliciosos como Colortoolsv2 e Mimelib2 usaram contratos inteligentes da Ethereum para ocultar malware da segunda etapa. Em ambos os casos, os invasores alavancaram a ofuscação e a infraestrutura de desenvolvedores confiáveis para ignorar a detecção.
O ModStealer estende esse padrão além dos repositórios de pacotes, mostrando como os cibercriminosos estão escalando suas técnicas nos ecossistemas para comprometer os ambientes dos desenvolvedores e direcionar diretamente as carteiras criptográficas.
Fontecoindesk
