La firma de seguridad Mosyle ha descubierto una cepa de malware capaz de evadir la detección de antivirus y robar información de las billeteras de criptomonedas de los navegadores. El malware se propaga mediante anuncios falsos de reclutadores en línea.
Los principales antivirus no detectaron el malware ModStealer durante casi un mes antes de reportarlo. Este malware se dirigió a desarrolladores que ya trabajaban con entornos Node.js. ModStealer escanea en busca de extensiones de monederos de criptomonedas basados en navegador,dentdel sistema y certificados digitales antes de enviar la información robada a un servidor de comando y control (C2). Este servidor actúa como un centro central para que los estafadores administren los dispositivos comprometidos.
ModStealer explota Node.js para robar claves privadas
Según una investigación de 9to5Mac , el malware ModStealer se camuflaba en sistemas macOS como un programa auxiliar en segundo plano para lograr persistencia, lo que garantizaba su ejecución automática matic vez que se reiniciaba el equipo. Los sistemas infectados tenían un archivo llamado sysupdater.dat y conexiones inusuales a servidores sospechosos.
Shan Zhang, director de seguridad informática de SlowMist, empresa de seguridad blockchain, reveló que ModStealer evade la detección de los antivirus convencionales y representa un riesgo significativo para el ecosistema de activos digitales. Añadió que el malware es compatible con múltiples plataformas y se ejecuta de forma sigilosa, lo que lo diferencia del malware tradicional.
Charles Guillemet, director de tecnología de Ledger, reveló otro ataque similar que permitió a los atacantes comprometer una cuenta de desarrollador de Node Package Manager (npm) para intentar propagar código malicioso, que puede reemplazar silenciosamente las direcciones de billetera durante las transacciones. Advirtió que este tipo de incidentes dent la vulnerabilidad de las bibliotecas de código relacionadas con blockchain.
Los errores de los atacantes provocaron fallos en los procesos de CI/CD, lo que permitió una detección temprana y un impacto limitado. Aun así, esto es un claro recordatorio: si tus fondos se encuentran en una billetera de software o en una plataforma de intercambio, estás a una sola ejecución de código de perderlo todo. Las vulnerabilidades en la cadena de suministro siguen siendo un potente vector de distribución de malware, y también estamos observando el surgimiento de ataques más dirigidos
– Charles Guillemet , director de tecnología de Ledger
Zhang advirtió que el malware ModStealer representa una amenaza directa para los usuarios y las plataformas de criptomonedas, y añadió que, para los usuarios individuales, la vulneración de claves privadas, frases semilla y claves API de intercambio puede ocasionar pérdidas inmediatas. También señaló que el robo masivo de datos de billeteras de extensiones de navegador podría impulsar exploits en cadena a gran escala y debilitar la confianza de los usuarios, a la vez que aumenta los riesgos en las cadenas de suministro de criptomonedas.
Nuevos ataques cibernéticos tienen como objetivo los datos de las billeteras de criptomonedas
Guillemet descubrió que el ecosistema de JavaScript se vio comprometido por un ataque masivo a la cadena de suministro dirigido a bibliotecas como chalk, strip-ansi, color-convert y error-ex. Los paquetes afectados se han descargado más de mil millones de veces por semana, lo que representa una grave amenaza para el ecosistema blockchain.
El software malicioso funcionaba como un criptoclipper, lo que significa que podía reemplazar direcciones de monedero en solicitudes de red o modificar transacciones iniciadas a través de MetaMask y otras carteras. El ataque se descubrió mediante un pequeño fallo en la compilación del canal de CI/CD. Los investigadores descubrieron posteriormente que el malware empleaba dos estrategias. La primera consistía en el intercambio pasivo de direcciones, que monitorizaba las solicitudes de tráfico saliente y reemplazaba las direcciones de monedero con las controladas por el secuestrador. Utilizaba el algoritmo de distancia de Levenshtein, que selecciona direcciones similares, lo que dificulta visualmente la detección de cambios.
Otro método utilizado por los atacantes fue el secuestro activo de transacciones, que modifica las transacciones pendientes en memoria antes de reenviarlas para su aprobación al usuario al detectar una billetera de criptomonedas. Esto engañó a los usuarios para que firmaran transferencias directamente a la billetera del atacante.
se reportaron incidentes dent en Cryptopolitan Cryptopolitan donde la investigación de ReversingLabs reveló otro malware oculto en los trac inteligentes Ethereum . El ataque se descargó mediante paquetes npm, como colortoolv2 y mimelib2, que actuaron como agentes de segunda etapa, recuperando el software malicioso almacenado en la Ethereum .
ReversingLabs reveló que el software malicioso eludió los análisis de seguridad ocultando las URL maliciosas en lostracinteligentes Ethereum . Posteriormente, se descargó a través de repositorios falsos de GitHub, que se hacían pasar por bots de trading de criptomonedas. La operación estaba vinculada a la Red Fantasma de Stargazer, un sistema de ataques coordinados que refuerza la legitimidad de los repositorios maliciosos.
