Компания по защите устройств AppleMosyle выявила новую кроссплатформенную вредоносную программу, которая остается незамеченной всеми основными антивирусами. Вирус распространяется под видом предложений о работе для разработчиков и способен работать на macOS, Windows и Linux.
Что известно
Мошенники используют вредоносные объявления, якобы от рекрутеров, чтобы заразить компьютеры разработчиков. Загрузка вируса происходит через файл JavaScript, написанный на NodeJS, скрытый за сложной маскировкой. Вирус не определяется защитными системами, основанными на сигнатурах.
По словам исследователей безопасности, ModStealer ориентирован на кражу конфиденциальных данных. В его коде заложена функция поиска и выкачивания информации из криптовалютных кошельков в браузере, учетных данных, конфигурационных файлов и сертификатов. Исследователи Mosyle нашли целевую поддержку для 56 расширений браузеров, включая Safari, с возможностью извлечения приватных ключей и другой чувствительной информации.
Управление устройством и скрытое присутствие
Вредоносная программа может:
- делать снимки экрана,
- перехватывать содержимое буфера обмена
- и выполнять удаленный код.
Последняя функция дает злоумышленникам почти полный контроль над зараженным устройством.
На macOS вирус внедряется в систему через launchctl, встроенный инструмент Apple, регистрируясь как LaunchAgent. Это позволяет ему запускаться при включении устройства и незаметно передавать данные на удаленный сервер. Mosyle предполагает, что хостинг сервера находится в Финляндии, однако инфраструктура связана с Германией, что, вероятно, сделано для сокрытия истинного местоположения операторов.
Модель MaaS и рост угроз
Mosyle считает, что ModStealer распространяется по модели «вирус как услуга» (Malware-as-a-Service, MaaS). В рамках этой схемы разработчики продают готовые вредоносные пакеты менее технически подкованным партнерам, которые далее используют их по своему усмотрению.
Подобная модель становится все более популярной в кругах киберпреступников. По данным Mosyle, ранее в 2025 году компания Jamf зафиксировала рост на 28% по числу вредоносных программ типа infostealer, что делает их самым распространённым видом вредоносов для Mac в этом году.
Атака на цепочку поставок NPM
Ранее в сентябре произошел крупнейший взлом в цепочке поставок. В результате атаки хакеры получили доступ к аккаунту разработчика на платформе NPM и внедрили вредоносный код в популярные библиотеки chalk, strip-ansi и color-convert. Эти библиотеки загружаются миллиарды раз в неделю.
Вирус встраивал клиппер, подменяющий адрес получателя криптовалюты в транзакции. Несмотря на минимальный подтвержденный ущерб (менее $50), инцидент получил широкую огласку из-за масштаба распространения зараженного кода.
Читайте также:
- NFT-художница потеряла $170 000 в криптовалюте из-за трояна в Steam
- Binance предупредила о волне фейковых SMS от имени биржи
- ZachXBT раскритиковал биржи и Web3-проекты за игнорирование краж и соучастие
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения