Il nuovo malware ModStealer ruba le chiavi crypto su tutti i sistemi

• Il malware ModStealer ruba dati dei wallet crypto su sistemi macOS, Windows e Linux.
• Si diffonde principalmente tramite annunci di finti recruiter utilizzando task JavaScript non rilevati.
• Gli esperti avvertono che gli strumenti antivirus non rilevano il malware, sottolineando la necessità di nuove difese.

Un malware recentemente scoperto chiamato ModStealer sta prendendo di mira gli utenti crypto su macOS, Windows e Linux, minacciando wallet e credenziali di accesso. La società di sicurezza focalizzata su Apple, Mosyle, ha scoperto questa variante dopo aver rilevato che era rimasta inosservata dai principali motori antivirus per quasi un mese. Secondo le fonti, il malware è stato caricato su VirusTotal, una piattaforma online che controlla i file per contenuti dannosi.

Mosyle ha riferito che ModStealer è progettato con codice pre-caricato in grado di estrarre chiavi private, certificati, file di credenziali ed estensioni di wallet basati su browser. L’azienda ha scoperto una logica di targeting per diversi wallet, inclusi quelli installati su Safari e browser basati su Chromium.

Gli esperti hanno dichiarato che ModStealer persiste su macOS registrandosi come agente in background. Hanno rintracciato l’infrastruttura server del malware in Finlandia, ma ritengono che il percorso passi attraverso la Germania per oscurare la posizione degli operatori.

Distribuzione tramite reclutamento ingannevole

L’analisi ha rivelato che ModStealer si sta diffondendo tramite annunci di finti recruiter rivolti agli sviluppatori. Gli attaccanti inviano task lavorativi contenenti un file JavaScript fortemente offuscato progettato per eludere il rilevamento. Quel file contiene script pre-caricati mirati a 56 estensioni di wallet per browser, incluso Safari, consentendo il furto di chiavi e dati sensibili.

Mosyle ha confermato che anche i sistemi Windows e Linux sono vulnerabili. Questo rende ModStealer una delle poche minacce attive con un’ampia portata cross-platform.

L’azienda ha dichiarato che ModStealer si allinea al profilo Malware-as-a-Service (MaaS). In questo modello, i cybercriminali costruiscono kit infostealer pronti all’uso e li vendono ad affiliati che potrebbero non avere competenze tecniche. Questa tendenza ha accelerato gli attacchi nel 2025, con Jamf che segnala un aumento del 28% dell’attività degli infostealer quest’anno.

Mosyle ha osservato: “Per i professionisti della sicurezza, gli sviluppatori e gli utenti finali, questo serve come un chiaro promemoria che le protezioni basate solo sulle firme non sono sufficienti. Il monitoraggio continuo, le difese basate sul comportamento e la consapevolezza delle minacce emergenti sono essenziali per restare un passo avanti rispetto agli avversari.”

Capacità in espansione degli infostealer

ModStealer ha molte altre capacità oltre al furto di estensioni. Può dirottare la clipboard sostituendo gli indirizzi di wallet copiati con quelli degli attaccanti. Questo permette agli attaccanti di eseguire codice da remoto, catturare schermate o esfiltrare file. 

Su macOS, il malware sfrutta i LaunchAgents per garantire la persistenza. Questo mantiene il programma dannoso attivo anche dopo i riavvii del sistema, rappresentando un rischio a lungo termine per le macchine infette.

Mosyle ha spiegato che la struttura di ModStealer assomiglia molto a quella di altre piattaforme MaaS. Gli affiliati ottengono accesso a kit malware completi e possono personalizzare i loro attacchi. L’azienda ha aggiunto che questo modello sta alimentando l’espansione degli infostealer su diversi sistemi operativi e settori.

All’inizio del 2025, attacchi tramite pacchetti npm dannosi, dipendenze compromesse ed estensioni false hanno rivelato come gli avversari riescano a penetrare in ambienti altrimenti affidabili per gli sviluppatori. ModStealer, rappresentando il passo successivo in questa evoluzione, riesce a integrarsi in flussi di lavoro apparentemente legittimi rendendosi ancora più difficile da rilevare.

Correlato:

Un cambiamento dai bug di codice alla manipolazione della fiducia

Le violazioni della sicurezza sono storicamente emerse nella scena crypto a causa di vulnerabilità nei software di smart contract o wallet. Ma ModStealer è coinvolto in un cambio di paradigma. I suoi attaccanti non stanno più semplicemente sfruttando bug o zero-day; stanno dirottando la fiducia.

Manipolano il modo in cui gli sviluppatori interagiscono con i recruiter, danno per scontato che gli strumenti siano sicuri e si affidano pesantemente alle protezioni antivirus conosciute. Questo approccio rende l’elemento umano l’anello più debole nella sicurezza informatica.

Gli esperti di sicurezza consigliano un approccio rigoroso. Gli utenti devono isolare le attività dei wallet utilizzando macchine separate o ambienti virtuali. Gli sviluppatori dovrebbero esaminare molto attentamente i task dei recruiter e indagare su fonti e repository prima di eseguire il codice. Raccomandano inoltre di abbandonare i sistemi antivirus basati solo sulle firme e di adottare strumenti di rilevamento antivirus basati sul comportamento, soluzioni EDR e monitoraggio in tempo reale.

Altri consigli degli esperti includono audit regolari delle estensioni del browser, permessi limitati e aggiornamenti software. Sostengono che così si ridurrà l’esposizione alle minacce basate su ModStealer.