L'azienda di sicurezza informatica Mosyle ha scoperto un malware in grado di eludere il rilevamento degli antivirus e rubare informazioni dai wallet dei browser di criptovalute. Il malware si diffonde tramite falsi annunci di reclutamento online.
I principali software antivirus non hanno rilevato il malware ModStealer per quasi un mese prima di segnalarlo. Il malware aveva come target gli sviluppatori che già lavoravano con ambienti Node.js. ModStealer analizza le estensioni dei portafogli crittografici basati sul browser, ledentdi sistema e i certificati digitali prima di inviare le informazioni rubate a un server di comando e controllo (C2). Il server C2 funge da hub centrale per i truffatori, consentendo loro di gestire i dispositivi compromessi.
ModStealer sfrutta Node.js per rubare chiavi private
Secondo una ricerca di 9to5Mac , il malware ModStealer si è camuffato sui sistemi macOS come un programma di supporto in background per ottenere persistenza, assicurandosi di essere eseguito automaticamente matic ogni riavvio del computer. I sistemi infetti presentavano un file denominato sysupdater.dat e connessioni insolite a server sospetti.
Shan Zhang, responsabile della sicurezza informatica di SlowMist, azienda specializzata in sicurezza blockchain, ha rivelato che ModStealer elude il rilevamento da parte dei principali software antivirus e rappresenta un rischio significativo per l'ecosistema delle risorse digitali. Ha aggiunto che il malware supporta più piattaforme e ha un'esecuzione stealth, il che lo differenzia dai malware tradizionali.
Charles Guillemet, CTO di Ledger, ha rivelato un altro attacco simile che ha permesso agli aggressori di compromettere un account sviluppatore di Node Package Manager (npm) nel tentativo di diffondere codice dannoso, che potrebbe sostituire silenziosamente gli indirizzi dei wallet durante le transazioni. Ha avvertito che tali incidenti dent quanto possano essere vulnerabili le librerie di codice relative alla blockchain.
"Gli errori degli aggressori hanno causato crash nelle pipeline CI/CD, il che ha portato a un rilevamento precoce e a un impatto limitato. Tuttavia, questo è un chiaro promemoria: se i tuoi fondi sono depositati in un portafoglio software o su un exchange, sei a un'esecuzione di codice dal perdere tutto. Le compromissioni della supply chain rimangono un potente vettore di distribuzione di malware e stiamo assistendo anche all'emergere di attacchi più mirati"
– Charles Guillemet , Direttore tecnico del registro
Zhang ha avvertito che il malware ModStealer rappresenta una minaccia diretta per gli utenti e le piattaforme crypto, aggiungendo che per i singoli utenti, la compromissione di chiavi private, seed phrase e chiavi API di scambio potrebbe comportare perdite immediate. Ha inoltre osservato che il furto di massa di dati del wallet delle estensioni del browser potrebbe alimentare exploit on-chain su larga scala e indebolire la fiducia degli utenti, aumentando al contempo i rischi nelle supply chain crypto.
Nuovi exploit informatici prendono di mira i dati dei portafogli crittografici
Guillemet ha scoperto che l'ecosistema JavaScript è stato compromesso da un massiccio attacco alla supply chain che ha preso di mira librerie come chalk, strip-ansi, color-convert ed error-ex. I pacchetti interessati sono stati scaricati più di un miliardo di volte a settimana, il che rappresenta una grave minaccia per l'ecosistema blockchain.
Il software dannoso funzionava come un crypto-clipper, il che significa che poteva sostituire gli indirizzi dei wallet nelle richieste di rete o modificare le transazioni avviate tramite MetaMask e altri wallet. L'attacco è stato scoperto tramite un piccolo errore di build della pipeline CI/CD. I ricercatori hanno successivamente scoperto che il malware utilizzava due strategie. La prima strategia era lo scambio passivo di indirizzi, che monitorava le richieste di traffico in uscita e sostituiva gli indirizzi dei wallet con quelli controllati dal dirottatore. Utilizzava l'algoritmo di distanza di Levenshtein, che seleziona indirizzi simili, rendendo visivamente difficile rilevare le modifiche.
Un altro metodo utilizzato dagli aggressori è stato l'active transaction hijacking, che modifica le transazioni in sospeso in memoria prima di inoltrarle per l'approvazione dell'utente una volta rilevato un portafoglio crittografico. In questo modo, gli utenti venivano indotti a firmare i trasferimenti direttamente sul portafoglio dell'aggressore.
dent simili sono stati segnalati su Cryptopolitan , dove la ricerca di ReversingLabs ha rivelato un altro malware nascosto negli smart contract trac Ethereum . L'attacco è stato scaricato tramite pacchetti npm, inclusi colortoolv2 e mimelib2, che hanno agito come agenti di seconda fase, recuperando il software dannoso memorizzato sulla Ethereum .
ReversingLabs ha rivelato che il software dannoso ha aggirato le scansioni di sicurezza nascondendo gli URL dannosi all'interno degli smarttracEthereum . Successivamente, è stato scaricato tramite falsi repository GitHub, spacciati per bot di trading di criptovalute. L'operazione era collegata al Ghost Network di Stargazer, un sistema di attacchi coordinati che rafforza la legittimità dei repository dannosi.
