研究人员发现针对加密钱包的新型恶意软件

安全公司 Mosyle 发现了一种恶意软件，该软件能够绕过杀毒软件的检测，并从加密货币浏览器钱包中窃取信息。这种恶意软件通过网络上的虚假招聘广告传播。.

主流杀毒软件在近一个月的时间里都未能检测到 ModStealer 恶意软件，之后才发出警报。该恶意软件专门针对已经在使用 Node.js 环境的开发者。ModStealer 会扫描基于浏览器的加密钱包扩展程序、系统dent和数字证书，然后将窃取的信息发送到命令与控制 (C2) 服务器。C2 服务器充当诈骗分子管理受感染设备的中心枢纽。. 

ModStealer 利用 Node.js 漏洞窃取私钥

据 9to5Mac，ModStealer 恶意软件在 macOS 系统中伪装成后台辅助程序以实现持久化，确保每次计算机重启后自动运行matic受感染的系统中存在一个名为 sysupdater.dat 的文件，并且与可疑服务器建立了异常连接。 

区块链安全公司SlowMist的首席信息安全官张山透露，ModStealer能够绕过主流杀毒软件的检测，对数字资产生态系统构成重大风险。他还补充说，该恶意软件具有多平台支持和隐蔽执行能力，这使其与传统恶意软件截然不同。. 

Ledger首席技术官Charles Guillemet 披露了 另一起类似的攻击事件，攻击者利用该事件入侵了Node包管理器（npm）的开发者账户，试图传播恶意代码。这些恶意代码可能会在交易过程中悄无声息地替换钱包地址。他警告说，此类事件dent区块链相关代码库的脆弱性。

“攻击者的失误导致 CI​​/CD 流水线崩溃，从而得以及早发现并限制了损失。但这仍然敲响了警钟：如果你的资金存放在软件钱包或交易所，一次代码执行就可能让你损失所有资金。供应链漏洞仍然是恶意软件传播的强大途径，而且我们还看到更多针对性攻击的出现。”

–Charles Guillemet，Ledger 首席技术官

张警告称，ModStealer恶意软件对加密货币用户和平台构成直接威胁。他补充说，对于个人用户而言，私钥、助记词和交易所API密钥的泄露可能导致直接损失。他还指出，浏览器扩展程序钱包数据的大规模窃取可能助长大规模链上攻击，削弱用户信任，并增加整个加密货币供应链的风险。. 

新型网络攻击针对加密钱包数据

Guillemet 发现 ，针对chalk、strip-ansi、color-convert和error-ex等库的大规模供应链攻击破坏了JavaScript生态系统。受影响的软件包每周下载量超过10亿次，这对区块链生态系统构成了严重威胁。 

该恶意软件充当加密剪枝器，这意味着它可以替换网络请求中的钱包地址，或修改通过 MetaMask 和其他钱包发起的交易。此次攻击是由于 CI/CD 流水线构建过程中的一次小故障而被发现的。研究人员随后发现，该恶意软件使用了两种策略。第一种策略是被动地址交换，它会监控出站流量请求，并将钱包地址替换为劫持者控制的地址。它使用了莱文斯坦距离算法，该算法会选择外观相似的地址，使得用户难以通过视觉方式检测到这些变化。.

攻击者使用的另一种方法是主动交易劫持，即在检测到加密钱包后，修改内存中待处理的交易，然后再将其转发给用户进行确认。这诱使用户直接将款项转入攻击者的钱包。.

类似的事件dent了 报道 也 Cryptopolitan 的研究揭示了另一种隐藏在 Ethereum 智能合约trac上获取恶意软件 Ethereum 。 

ReversingLabs 披露，该恶意软件通过将恶意 URL 隐藏在 Ethereum 智能trac中来绕过安全扫描。随后，攻击者通过伪装成加密货币交易机器人的虚假 GitHub 代码库下载了该恶意软件。此次攻击行动与 Stargazer 的 Ghost Network 有关，Ghost Network 是一个协同攻击系统，旨在提升恶意代码库的合法性。.