一種名為ModStealer的新發現惡意軟體正在跨macOS、Windows和Linux系統攻擊加密用戶,對錢包和訪問憑證構成風險。
專注蘋果安全的公司Mosyle發現了這一惡意軟體,稱其在上傳到VirusTotal(一個分析文件以檢測惡意內容的線上平台)後,近一個月內完全未被主要殺毒引擎檢測到,9to5mac報導。
Mosyle表示,ModStealer旨在提取數據,預裝了竊取私鑰、證書、憑證文件和基於瀏覽器的錢包擴展的代碼。安全研究人員發現了針對不同錢包的目標邏輯,包括Safari和基於Chromium瀏覽器上的擴展。
該安全公司表示,惡意軟體通過濫用系統註冊為後台代理在macOS上持續存在。團隊稱伺服器託管在芬蘭,但認為基礎設施通過德國路由以掩蓋操作者的來源。
安全公司警告虛假招聘廣告
據報導,該惡意軟體通過虛假招聘廣告傳播,這一策略越來越多地被用於攻擊Web3開發者和建設者。
一旦用戶安裝惡意軟體包,ModStealer就會嵌入系統並在後台運行。它捕獲剪貼板數據、截屏並執行遠程命令。
區塊鏈安全公司Hacken的DApp和AI審計技術主管Stephen Ajayi告訴Cointelegraph,使用欺詐性"測試任務"作為惡意軟體傳遞機制的惡意招聘活動越來越常見。他警告開發者在被要求下載文件或完成評估時要格外謹慎。
"開發者應驗證招聘人員和相關域名的合法性,"Ajayi告訴Cointelegraph。"要求通過公共存儲庫分享任務,並僅在沒有錢包、SSH密鑰或密碼管理器的一次性虛擬機中打開任何任務。"
Ajayi強調了隔離敏感資產的重要性,建議團隊在開發環境和錢包存儲之間保持嚴格分離。
"開發環境'開發盒'和錢包環境'錢包盒'之間的明確分離至關重要,"他告訴Cointelegraph。
相關: NPM漏洞利用失敗凸顯加密安全面臨的威脅:高管
Hacken安全主管分享用戶實用步驟
Ajayi還強調了基本錢包衛生和端點加固對防禦ModStealer等威脅的重要性。
"使用硬體錢包,始終在設備顯示屏上確認交易地址,在批准前至少驗證前六位和後六位字符,"他告訴Cointelegraph。
Ajayi建議用戶維護專用的鎖定瀏覽器配置文件或單獨設備專門用於錢包活動,僅與受信任的錢包擴展互動。
對於帳戶保護,他建議離線存儲助記詞、多因素認證,並在可能時使用FIDO2通行密鑰。