Malware ModStealer Baru Mencuri Kunci Crypto di Semua Sistem

• Malware ModStealer mencuri data dompet kripto pada sistem macOS, Windows, dan Linux.
• Malware ini terutama menyebar melalui iklan perekrut palsu yang menggunakan tugas kode JavaScript yang tidak terdeteksi.
• Peneliti memperingatkan bahwa alat antivirus gagal mendeteksi malware ini, menyoroti perlunya pertahanan baru.

Malware baru yang ditemukan bernama ModStealer menargetkan pengguna kripto di macOS, Windows, dan Linux, mengancam dompet dan kredensial akses. Perusahaan keamanan yang berfokus pada Apple, Mosyle, menemukan strain ini setelah mengetahui bahwa malware tersebut tetap tidak terdeteksi oleh mesin antivirus utama selama hampir satu bulan. Menurut sumber, malware ini diunggah ke VirusTotal, sebuah platform daring yang memeriksa file untuk konten berbahaya.

Mosyle melaporkan bahwa ModStealer dirancang dengan kode pra-muat yang mampu mengekstrak kunci privat, sertifikat, file kredensial, dan ekstensi dompet berbasis browser. Perusahaan ini menemukan logika penargetan untuk beberapa dompet, termasuk yang terpasang di browser Safari dan berbasis Chromium.

Para peneliti mengatakan ModStealer bertahan di macOS dengan mendaftar sebagai agen latar belakang. Mereka melacak infrastruktur server malware ini ke Finlandia tetapi percaya rutenya melewati Jerman untuk menyamarkan lokasi operatornya.

Distribusi Melalui Rekrutmen Menipu

Analisis mengungkapkan bahwa ModStealer menyebar melalui iklan perekrut palsu yang menargetkan pengembang. Penyerang mengirim tugas terkait pekerjaan yang disisipkan file JavaScript yang sangat diobfusikasi untuk melewati deteksi. File tersebut berisi skrip pra-muat yang menargetkan 56 ekstensi dompet browser, termasuk Safari, sehingga memungkinkan pencurian kunci dan data sensitif.

Mosyle mengonfirmasi bahwa sistem Windows dan Linux juga rentan. Hal ini menjadikan ModStealer salah satu ancaman aktif dengan jangkauan lintas platform yang luas.

Perusahaan menyatakan bahwa ModStealer selaras dengan profil Malware-as-a-Service (MaaS). Dalam model ini, penjahat siber membangun kit infostealer siap pakai dan menjualnya kepada afiliasi yang mungkin tidak memiliki keahlian teknis. Tren ini mempercepat serangan pada tahun 2025, dengan Jamf melaporkan peningkatan aktivitas infostealer sebesar 28% tahun ini.

Mosyle mencatat, “Bagi profesional keamanan, pengembang, dan pengguna akhir, ini menjadi pengingat keras bahwa perlindungan berbasis signature saja tidak cukup. Pemantauan berkelanjutan, pertahanan berbasis perilaku, dan kesadaran akan ancaman baru sangat penting untuk tetap selangkah di depan penyerang.”

Kemampuan Infostealer yang Berkembang

ModStealer memiliki beberapa kemampuan lain selain mencuri ekstensi. Malware ini akan membajak clipboard dengan mengganti alamat dompet yang disalin dengan milik penyerang. Hal ini memungkinkan penyerang mengeksekusi kode jarak jauh, menangkap layar, atau mengekstrak file. 

Di macOS, malware memanfaatkan LaunchAgents untuk memastikan persistensi. Ini membuat program jahat tetap berjalan bahkan setelah sistem di-reboot, sehingga menimbulkan risiko jangka panjang bagi mesin yang terinfeksi.

Mosyle menjelaskan bahwa build ModStealer sangat mirip dengan struktur platform MaaS lainnya. Afiliasi mendapatkan akses ke kit malware berfungsi penuh dan dapat menyesuaikan serangan mereka. Perusahaan menambahkan bahwa model ini mendorong ekspansi infostealer di berbagai sistem operasi dan industri.

Awal tahun 2025, serangan melalui paket npm berbahaya, dependensi yang dikompromikan, dan ekstensi palsu mengungkapkan bagaimana penyerang masuk ke lingkungan pengembang yang seharusnya tepercaya. ModStealer, sebagai langkah evolusi berikutnya, berhasil menyusup ke alur kerja yang tampak sah sehingga semakin sulit dideteksi.

Terkait:

Pergeseran dari Bug Kode ke Manipulasi Kepercayaan

Pelanggaran keamanan secara historis muncul di dunia kripto karena kerentanan pada smart contract atau perangkat lunak dompet. Namun ModStealer terlibat dalam pergeseran paradigma. Penyerangnya tidak lagi hanya mengeksploitasi bug atau zero-day; mereka membajak kepercayaan.

Mereka memanipulasi cara pengembang berinteraksi dengan perekrut, menganggap alat aman, dan sangat bergantung pada perlindungan antivirus yang dikenal. Pendekatan ini membuat unsur manusia menjadi titik terlemah dalam keamanan siber.

Pakar keamanan menyarankan pendekatan yang ketat. Pengguna harus mengisolasi aktivitas dompet dengan menggunakan mesin terpisah atau lingkungan virtual. Pengembang harus memeriksa tugas perekrut dengan sangat hati-hati dan menyelidiki sumber serta repositori sebelum mengeksekusi kode. Mereka juga merekomendasikan untuk beralih dari sistem antivirus berbasis signature murni ke alat deteksi antivirus berbasis perilaku, solusi EDR, dan pemantauan runtime.

Rekomendasi ahli lainnya termasuk audit rutin ekstensi browser, pembatasan izin, dan pembaruan perangkat lunak. Mereka berpendapat bahwa langkah-langkah ini akan mengurangi paparan ancaman berbasis ModStealer.