根据苹果设备安全公司Mosyle的说法，一种专门用于窃取加密钱包数据的新型恶意软件正在绕过所有主要的杀毒引擎。

这种被称为ModStealer的信息窃取者已经在没有被病毒扫描器检测到的情况下运行了近一个月。Mosyle的研究人员表示，这种恶意软件通过针对开发者的恶意招聘广告进行传播，并使用高度混淆的NodeJS脚本来绕过基于签名的防御。

这意味着恶意软件的代码已经被打乱，并且层叠了使其对基于签名的杀毒工具不可读的技巧。由于这些防御依赖于识别可识别的代码“模式”，混淆隐藏了这些模式，使得脚本能够在不被检测的情况下执行。

在实践中，这使得攻击者能够将恶意指令悄无声息地植入系统，同时绕过通常会捕捉到更简单、未修改代码的传统安全扫描。

与大多数针对Mac的恶意软件不同，ModStealer是跨平台的，同时影响Windows和Linux环境。它的主要任务是数据外泄，代码被认为包含预加载的指令，旨在针对56个浏览器钱包扩展，以提取私钥、凭证和证书。

该恶意软件还支持剪贴板劫持、屏幕捕获和远程代码执行，使攻击者能够几乎完全控制受感染的设备。在macOS上，通过苹果的启动工具实现持久性，将自己嵌入为LaunchAgent。

Mosyle表示，该构建符合“恶意软件即服务”的特征，开发者向技术能力有限的附属机构出售现成的工具。今年，这一模式推动了信息窃取者的激增，Jamf报告称仅在2025年就增长了28%。

这一发现恰逢近期针对npm的攻击，恶意包如colortoolsv2和mimelib2利用以太坊智能合约来隐藏第二阶段的恶意软件。在这两种情况下，攻击者利用混淆和受信任的开发者基础设施来绕过检测。

ModStealer将这一模式扩展到包存储库之外，显示了网络犯罪分子如何在生态系统中升级他们的技术，以妥协开发者环境并直接针对加密钱包。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。