La société de sécurité Mosyle a découvert un logiciel malveillant capable de contourner la détection des antivirus et de voler des informations dans les portefeuilles de cryptomonnaies utilisés dans les navigateurs web. Ce logiciel malveillant se propage via de fausses annonces de recrutement en ligne.
Les principaux logiciels antivirus n'ont pas détecté le malware ModStealer pendant près d'un mois avant de le signaler. Ce dernier ciblait les développeurs travaillant déjà avec des environnements Node.js. ModStealer recherche les extensions de portefeuilles cryptographiques pour navigateur, lesdentsystème et les certificats numériques avant d'envoyer les informations volées à un serveur de commande et de contrôle (C2). Ce serveur C2 sert de plateforme centrale permettant aux escrocs de gérer les appareils compromis.
ModStealer exploite Node.js pour voler des clés privées
D'après une enquête de 9to5Mac , le malware ModStealer se dissimulait sur les systèmes macOS en se faisant passer pour un programme auxiliaire s'exécutant en arrière-plan afin d'assurer sa persistance, garantissant ainsi son lancement automatique matic chaque redémarrage de l'ordinateur. Les systèmes infectés présentaient un fichier nommé sysupdater.dat et des connexions inhabituelles à des serveurs suspects.
Shan Zhang, responsable de la sécurité des systèmes d'information chez SlowMist, une entreprise spécialisée dans la sécurité blockchain, a révélé que ModStealer échappe à la détection des principaux logiciels antivirus et représente un risque important pour l'écosystème des actifs numériques. Il a ajouté que ce logiciel malveillant est compatible avec plusieurs plateformes et s'exécute furtivement, ce qui le distingue des logiciels malveillants traditionnels.
Charles Guillemet, directeur technique de Ledger, a révélé une autre attaque similaire qui a permis à des pirates de compromettre un compte développeur npm (Node Package Manager) afin de diffuser un code malveillant susceptible de remplacer silencieusement les adresses de portefeuilles lors des transactions. Il a souligné que de tels incidents dent la vulnérabilité des bibliothèques de code liées à la blockchain.
« Les erreurs des attaquants ont provoqué des pannes dans les pipelines CI/CD, ce qui a permis une détection précoce et un impact limité. Cet incident nous rappelle néanmoins une évidence : si vos fonds sont stockés dans un portefeuille logiciel ou sur une plateforme d’échange, une simple exécution de code malveillant peut vous faire tout perdre. Les failles de sécurité dans la chaîne d’approvisionnement demeurent un vecteur de propagation de logiciels malveillants puissant, et nous constatons également l’émergence d’attaques de plus en plus ciblées. »
– Charles Guillemet , directeur technique du grand livre
Zhang a averti que le logiciel malveillant ModStealer représente une menace directe pour les utilisateurs et les plateformes de cryptomonnaies. Il a ajouté que, pour les particuliers, la compromission des clés privées, des phrases de récupération et des clés API des plateformes d'échange peut entraîner des pertes immédiates. Il a également souligné que le vol massif de données de portefeuilles d'extensions de navigateur pourrait alimenter des attaques à grande échelle sur la blockchain et fragiliser la confiance des utilisateurs, tout en augmentant les risques tout au long des chaînes d'approvisionnement des cryptomonnaies.
De nouvelles cyberattaques ciblent les données des portefeuilles de cryptomonnaies
Guillemet a découvert que l'écosystème JavaScript était compromis par une attaque massive de la chaîne d'approvisionnement ciblant des bibliothèques telles que chalk, strip-ansi, color-convert et error-ex. Les paquets affectés ont été téléchargés plus d'un milliard de fois par semaine, ce qui représente une grave menace pour l'écosystème blockchain.
Le logiciel malveillant fonctionnait comme un « crypto-clipper », c'est-à-dire qu'il pouvait remplacer les adresses de portefeuilles dans les requêtes réseau ou modifier les transactions initiées via MetaMask et d'autres portefeuilles. L'attaque a été découverte suite à une défaillance mineure d'un pipeline CI/CD. Les chercheurs ont ensuite constaté que le logiciel malveillant utilisait deux stratégies. La première consistait en un échange passif d'adresses : le logiciel surveillait le trafic sortant et remplaçait les adresses de portefeuilles par celles contrôlées par le pirate. Il utilisait l'algorithme de distance de Levenshtein, qui sélectionne des adresses similaires, rendant ainsi les modifications visuellement difficiles à détecter.
Une autre méthode employée par les attaquants consistait à détourner activement les transactions. Cette technique modifie les transactions en attente en mémoire avant de les soumettre à l'approbation de l'utilisateur une fois qu'un portefeuille crypto est détecté. Les utilisateurs sont ainsi amenés à signer des transferts directement vers le portefeuille de l'attaquant.
dent similaires ont été signalés sur Cryptopolitan , où les recherches de ReversingLabs ont révélé un autre logiciel malveillant dissimulé dans trac intelligents Ethereum . L'attaque a été téléchargée via des packages npm, notamment colortoolv2 et mimelib2, qui ont agi comme agents de seconde étape, récupérant le logiciel malveillant stocké sur la Ethereum .
ReversingLabs a révélé que le logiciel malveillant contournait les analyses de sécurité en dissimulant les URL malveillantes au sein destracintelligents Ethereum . Il était ensuite téléchargé via de faux dépôts GitHub, se faisant passer pour des robots de trading de cryptomonnaies. L'opération était liée au réseau Ghost de Stargazer, un système d'attaques coordonnées visant à renforcer la légitimité des dépôts malveillants.
