一种名为ModStealer的新发现恶意软件正在跨macOS、Windows和Linux系统攻击加密用户,对钱包和访问凭证构成风险。
专注苹果安全的公司Mosyle发现了这一恶意软件,称其在上传到VirusTotal(一个分析文件以检测恶意内容的在线平台)后,近一个月内完全未被主要杀毒引擎检测到,9to5mac报道。
Mosyle表示,ModStealer旨在提取数据,预装了窃取私钥、证书、凭证文件和基于浏览器的钱包扩展的代码。安全研究人员发现了针对不同钱包的目标逻辑,包括Safari和基于Chromium浏览器上的扩展。
该安全公司表示,恶意软件通过滥用系统注册为后台代理在macOS上持续存在。团队称服务器托管在芬兰,但认为基础设施通过德国路由以掩盖操作者的来源。
安全公司警告虚假招聘广告
据报道,该恶意软件通过虚假招聘广告传播,这一策略越来越多地被用于攻击Web3开发者和建设者。
一旦用户安装恶意软件包,ModStealer就会嵌入系统并在后台运行。它捕获剪贴板数据、截屏并执行远程命令。
区块链安全公司Hacken的DApp和AI审计技术主管Stephen Ajayi告诉Cointelegraph,使用欺诈性"测试任务"作为恶意软件传递机制的恶意招聘活动越来越常见。他警告开发者在被要求下载文件或完成评估时要格外谨慎。
"开发者应验证招聘人员和相关域名的合法性,"Ajayi告诉Cointelegraph。"要求通过公共存储库分享任务,并仅在没有钱包、SSH密钥或密码管理器的一次性虚拟机中打开任何任务。"
Ajayi强调了隔离敏感资产的重要性,建议团队在开发环境和钱包存储之间保持严格分离。
"开发环境'开发盒'和钱包环境'钱包盒'之间的明确分离至关重要,"他告诉Cointelegraph。
相关: NPM漏洞利用失败凸显加密安全面临的威胁:高管
Hacken安全主管分享用户实用步骤
Ajayi还强调了基本钱包卫生和端点加固对防御ModStealer等威胁的重要性。
"使用硬件钱包,始终在设备显示屏上确认交易地址,在批准前至少验证前六位和后六位字符,"他告诉Cointelegraph。
Ajayi建议用户维护专用的锁定浏览器配置文件或单独设备专门用于钱包活动,仅与受信任的钱包扩展交互。
对于账户保护,他建议离线存储助记词、多因素认证,并在可能时使用FIDO2通行密钥。