安全公司 Mosyle 发现了一种恶意软件,该软件能够绕过杀毒软件的检测,并从加密货币浏览器钱包中窃取信息。这种恶意软件通过网络上的虚假招聘广告传播。.
主流杀毒软件在近一个月的时间里都未能检测到 ModStealer 恶意软件,之后才发出警报。该恶意软件专门针对已经在使用 Node.js 环境的开发者。ModStealer 会扫描基于浏览器的加密钱包扩展程序、系统dent和数字证书,然后将窃取的信息发送到命令与控制 (C2) 服务器。C2 服务器充当诈骗分子管理受感染设备的中心枢纽。.
ModStealer 利用 Node.js 漏洞窃取私钥
据9to5Mac,ModStealer 恶意软件在 macOS 系统中伪装成后台辅助程序以实现持久化,确保每次计算机重启后自动运行matic受感染的系统中存在一个名为 sysupdater.dat 的文件,并且与可疑服务器建立了异常连接。
区块链安全公司SlowMist的首席信息安全官张山透露,ModStealer能够绕过主流杀毒软件的检测,对数字资产生态系统构成重大风险。他还补充说,该恶意软件具有多平台支持和隐蔽执行能力,这使其与传统恶意软件截然不同。.
Ledger首席技术官Charles Guillemet披露了另一起类似的攻击事件,攻击者利用该事件入侵了Node包管理器(npm)的开发者账户,试图传播恶意代码。这些恶意代码可能会在交易过程中悄无声息地替换钱包地址。他警告说,此类事件dent区块链相关代码库的脆弱性。
“攻击者的失误导致 CI/CD 流水线崩溃,从而得以及早发现并限制了损失。但这仍然敲响了警钟:如果你的资金存放在软件钱包或交易所,一次代码执行就可能让你损失所有资金。供应链漏洞仍然是恶意软件传播的强大途径,而且我们还看到更多针对性攻击的出现。”
– Charles Guillemet ,Ledger 首席技术官
张警告称,ModStealer恶意软件对加密货币用户和平台构成直接威胁。他补充说,对于个人用户而言,私钥、助记词和交易所API密钥的泄露可能导致直接损失。他还指出,浏览器扩展程序钱包数据的大规模窃取可能助长大规模链上攻击,削弱用户信任,并增加整个加密货币供应链的风险。.
新型网络攻击针对加密钱包数据
Guillemet发现,针对chalk、strip-ansi、color-convert和error-ex等库的大规模供应链攻击破坏了JavaScript生态系统。受影响的软件包每周下载量超过10亿次,这对区块链生态系统构成了严重威胁。
该恶意软件充当加密剪枝器,这意味着它可以替换网络请求中的钱包地址,或修改通过 MetaMask 和其他钱包发起的交易。此次攻击是由于 CI/CD 流水线构建过程中的一次小故障而被发现的。研究人员随后发现,该恶意软件使用了两种策略。第一种策略是被动地址交换,它会监控出站流量请求,并将钱包地址替换为劫持者控制的地址。它使用了莱文斯坦距离算法,该算法会选择外观相似的地址,使得用户难以通过视觉方式检测到这些变化。.
攻击者使用的另一种方法是主动交易劫持,即在检测到加密钱包后,修改内存中待处理的交易,然后再将其转发给用户进行确认。这诱使用户直接将款项转入攻击者的钱包。.
Cryptopolitan 也报道了类似的事件dent的研究揭示了另一种隐藏在Ethereum智能合约tracEthereum上获取恶意软件。
ReversingLabs 披露,该恶意软件通过将恶意 URL 隐藏在 Ethereum 智能trac中来绕过安全扫描。随后,攻击者通过伪装成加密货币交易机器人的虚假 GitHub 代码库下载了该恶意软件。此次攻击行动与 Stargazer 的 Ghost Network 有关,Ghost Network 是一个协同攻击系统,旨在提升恶意代码库的合法性。.
