La société de sécurité Mosyle a identifié ModStealer, un nouveau logiciel malveillant multiplateforme capable de contourner les logiciels antivirus pour exfiltrer des actifs des portefeuilles de cryptomonnaie basés sur navigateur sur les systèmes Windows, Linux et macOS.

Résumé analytique

Mosyle, un leader en gestion et sécurité des appareils Apple, a identifié ModStealer, un nouveau logiciel malveillant de type « infostealer » multiplateforme. ModStealer cible les environnements macOS, Windows et Linux, et est spécifiquement conçu pour contourner la détection antivirus traditionnelle. Son objectif principal est l'exfiltration de données sensibles, en se concentrant sur les portefeuilles de cryptomonnaie, les fichiers d'informations d'identification, les détails de configuration et les certificats numériques. Le logiciel malveillant se propage par le biais d'annonces d'emploi malveillantes, ciblant principalement les développeurs, qui possèdent souvent des actifs numériques de grande valeur.

L'événement en détail

ModStealer est resté indétecté par les principaux moteurs antivirus pendant près d'un mois depuis son apparition sur VirusTotal. Le logiciel malveillant est délivré par le biais d'annonces de recrutement d'emploi malveillantes qui ciblent les développeurs, tirant parti de leur utilisation courante des environnements Node.js. Il fonctionne en utilisant un fichier JavaScript fortement obfusqué écrit avec NodeJS, ce qui contribue à son évasion des défenses basées sur les signatures. L'analyse de Mosyle révèle un code préchargé capable d'extraire les clés privées et les informations de compte sensibles de 56 extensions de portefeuille de navigateur différentes, y compris Safari. Au-delà du vol de cryptomonnaie, ModStealer propose la capture du presse-papiers, la capture d'écran et l'exécution de code à distance, accordant aux attaquants un contrôle étendu sur les systèmes infectés. Sur macOS, il assure sa persistance en abusant de l'outil launchctl d'Apple, en s'intégrant comme LaunchAgent pour surveiller en permanence l'activité et exfiltrer les données vers des serveurs distants. Mosyle suggère que ModStealer correspond au profil de Malware-as-a-Service (MaaS). Shān Zhang, responsable de la sécurité de l'information chez la firme de sécurité blockchain Slowmist, a caractérisé ModStealer comme unique en raison de son "support multiplateforme et de sa chaîne d'exécution furtive 'zéro détection'."

Implications pour le marché

La découverte de ModStealer accroît les risques de sécurité dans l'écosystème des actifs numériques, en particulier pour les utilisateurs de portefeuilles de cryptomonnaie basés sur navigateur. La capacité du logiciel malveillant à rester indétecté par les solutions antivirus grand public souligne les limites des protections basées sur les signatures et rend nécessaires des défenses comportementales avancées. Pour les utilisateurs individuels, les clés privées, les phrases de récupération (seed phrases) et les clés API d'échange risquent d'être compromises, ce qui pourrait entraîner une perte directe d'actifs. Pour l'industrie crypto au sens large, le vol massif de données de portefeuilles d'extension de navigateur pourrait déclencher des exploits en chaîne à grande échelle, érodant la confiance et amplifiant les risques de la chaîne d'approvisionnement. Le ciblage des développeurs par le biais d'annonces d'emploi trompeuses met en évidence une vulnérabilité critique dans la chaîne d'approvisionnement logicielle, un vecteur précédemment exploité dans des attaques significatives comme l'attaque de la chaîne d'approvisionnement NPM, qui a touché des packages avec plus de 2 milliards de téléchargements hebdomadaires. Cet incident passé a également démontré comment le code malveillant peut accéder au même contexte d'exécution JavaScript que les portefeuilles Web3 dans les environnements de navigateur, facilitant la manipulation sophistiquée des transactions.

Commentaires d'experts

Shān Zhang de Slowmist a déclaré que ModStealer "pose des risques importants pour l'écosystème plus large des actifs numériques," soulignant son "support multiplateforme et sa chaîne d'exécution furtive 'zéro détection'." Zhang a en outre averti que pour les utilisateurs finaux, "les clés privées, les phrases de récupération (seed phrases) et les clés API d'échange peuvent être compromises, entraînant une perte directe d'actifs." Il a ajouté que pour l'industrie crypto, "le vol massif de données de portefeuilles d'extension de navigateur pourrait déclencher des exploits en chaîne à grande échelle, érodant la confiance et amplifiant les risques de la chaîne d'approvisionnement." Mosyle a souligné l'insuffisance des protections basées sur les signatures seules, préconisant une surveillance continue, des défenses basées sur le comportement et une sensibilisation aux menaces émergentes.

Contexte plus large

Le vecteur d'attaque, utilisant de fausses offres d'emploi pour cibler les développeurs, fait écho aux tactiques employées par des acteurs malveillants motivés par le gain financier comme EncryptHub (alias LARVA-208 et Water Gamayun), qui ciblaient auparavant les développeurs Web3 avec des logiciels malveillants de type « information stealer » comme Fickle par le biais de plateformes d'IA trompeuses. Ces groupes ciblent les développeurs Web3 en raison de leur accès aux portefeuilles de cryptomonnaie, aux dépôts de contrats intelligents et aux environnements de test sensibles, opérant souvent sur plusieurs projets décentralisés sans les contrôles de sécurité d'entreprise traditionnels. L'incident met en évidence la sophistication croissante des capacités de vol de cryptomonnaie, qui combinent une obfuscation avancée, un support inter-chaînes et des algorithmes intelligents de remplacement d'adresses. Ce contexte souligne l'importance critique de la sensibilisation à la sécurité Web3 et la nécessité de mesures de sécurité robustes, y compris une protection proactive contre le phishing et des outils d'analyse des transactions comme Wallet Guard, lors de l'interaction avec des applications de cryptomonnaie, en particulier à mesure que la finance décentralisée continue de croître.