A empresa de segurança Mosyle descobriu uma variante de malware capaz de burlar a detecção de softwares antivírus e roubar informações de carteiras de criptomoedas em navegadores. O malware se espalha por meio de anúncios falsos de recrutamento online.
Os principais softwares antivírus não detectaram o malware ModStealer por quase um mês antes de reportá-lo. Ele tinha como alvo desenvolvedores que já trabalhavam com ambientes Node.js. O ModStealer busca extensões de carteiras de criptomoedas baseadas em navegador,dentdo sistema e certificados digitais antes de enviar as informações roubadas para um servidor de comando e controle (C2). O servidor C2 funciona como um hub central para os golpistas gerenciarem dispositivos comprometidos.
O ModStealer explora vulnerabilidades do Node.js para roubar chaves privadas
De acordo com uma pesquisa da 9to5Mac , o malware ModStealer se disfarçava em sistemas macOS como um programa auxiliar em segundo plano para garantir persistência, executando automaticamente matic que o computador era reiniciado. Os sistemas infectados apresentavam um arquivo chamado sysupdater.dat e conexões incomuns com servidores suspeitos.
Shan Zhang, diretor de segurança da informação da SlowMist, uma empresa de segurança blockchain, revelou que o ModStealer consegue burlar a detecção dos principais softwares antivírus e representa um risco significativo para o ecossistema de ativos digitais. Ele acrescentou que o malware possui suporte multiplataforma e execução furtiva, o que o diferencia dos malwares tradicionais.
Charles Guillemet, CTO da Ledger, revelou outro ataque semelhante que permitiu que invasores comprometessem uma conta de desenvolvedor do Node Package Manager (npm) numa tentativa de disseminar código malicioso, capaz de substituir silenciosamente endereços de carteira durante transações. Ele alertou que tais incidentes dent a vulnerabilidade das bibliotecas de código relacionadas a blockchain.
“Os erros dos atacantes causaram falhas nos pipelines de CI/CD, o que levou à detecção precoce e a um impacto limitado. Ainda assim, este é um lembrete claro: se seus fundos estão em uma carteira de software ou em uma corretora, você está a um passo de perder tudo. As vulnerabilidades na cadeia de suprimentos continuam sendo um poderoso vetor de distribuição de malware, e também estamos vendo o surgimento de ataques mais direcionados.”
– Charles Guillemet , CTO da Ledger
Zhang alertou que o malware ModStealer representa uma ameaça direta para usuários e plataformas de criptomoedas, acrescentando que, para usuários individuais, o comprometimento de chaves privadas, frases-semente e chaves de API de exchanges pode levar a perdas imediatas. Ele também observou que o roubo em massa de dados de carteiras de extensões de navegador pode alimentar explorações on-chain em larga escala e enfraquecer a confiança do usuário, além de aumentar os riscos em toda a cadeia de suprimentos de criptomoedas.
Novos ataques cibernéticos visam dados de carteiras de criptomoedas
Guillemet descobriu que o ecossistema JavaScript foi comprometido por um ataque massivo à cadeia de suprimentos, visando bibliotecas como chalk, strip-ansi, color-convert e error-ex. Os pacotes afetados foram baixados mais de um bilhão de vezes por semana, o que representa uma grave ameaça ao ecossistema blockchain.
O software malicioso funcionava como um "cryptoclipper", o que significa que podia substituir endereços de carteira em requisições de rede ou modificar transações iniciadas via MetaMask e outras carteiras. O ataque foi descoberto por meio de uma pequena falha na compilação do pipeline de CI/CD. Os pesquisadores descobriram posteriormente que o malware utilizava duas estratégias. A primeira estratégia era a troca passiva de endereços, que monitorava as requisições de tráfego de saída e substituía os endereços de carteira pelos endereços controlados pelo sequestrador. Utilizava o algoritmo de distância de Levenshtein, que seleciona endereços semelhantes, tornando visualmente difícil a detecção de alterações.
Outro método utilizado pelos atacantes foi o sequestro ativo de transações, que modifica as transações pendentes na memória antes de encaminhá-las para aprovação do usuário, assim que uma carteira de criptomoedas é detectada. Isso enganava os usuários, fazendo com que assinassem as transferências diretamente para a carteira do atacante.
dent semelhantes foram relatados no Cryptopolitan , onde a pesquisa da ReversingLabs revelou outro malware oculto em trac inteligentes Ethereum . O ataque foi baixado por meio de pacotes npm, incluindo colortoolv2 e mimelib2, que atuaram como agentes de segundo estágio, buscando o software malicioso armazenado no blockchain Ethereum
A ReversingLabs revelou que o software malicioso burlou as verificações de segurança ao ocultar URLs maliciosos dentro dostracinteligentes Ethereum . Posteriormente, ele foi baixado por meio de repositórios falsos do GitHub, que se passavam por bots de negociação de criptomoedas. A operação foi vinculada à Ghost Network de Stargazer, um sistema de ataques coordenados que aumenta a legitimidade de repositórios maliciosos.
