Questo virus prende di mira i wallet dei browser

Una nuova variante di malware studiata appositamente per sottrarre dati dai portafogli di criptovalute sta sfuggendo a tutti i principali antivirus, secondo quanto riportato dall’azienda specializzata nella sicurezza dei dispositivi Apple, Mosyle.

Denominato ModStealer, questo infostealer è attivo ormai da quasi un mese senza essere rilevato dai sistemi di scansione antivirus. I ricercatori di Mosyle hanno evidenziato che il malware viene diffuso tramite annunci di lavoro malevoli rivolti a sviluppatori e utilizza uno script NodeJS fortemente offuscato per aggirare le difese basate sul riconoscimento di firme digitali.

In pratica, il codice del malware è stato criptato e mascherato con diverse tecniche che lo rendono illeggibile per gli strumenti antivirus tradizionali, che si basano sul rilevamento di schemi ricorrenti nel codice. Questa offuscazione permette allo script di essere eseguito senza attivare nessun allarme.

Questo meccanismo consente agli aggressori di inserire istruzioni dannose all’interno di un sistema superando facilmente i controlli di sicurezza convenzionali, che solitamente intercettano codici più semplici e non modificati.

A differenza della maggior parte dei malware che prendono di mira esclusivamente Mac, ModStealer è multipiattaforma, colpendo anche ambienti Windows e Linux. Il suo principale obiettivo è l’esfiltrazione di dati, e il codice sembra già predisposto per attaccare 56 estensioni di portafogli browser, progettate per sottrarre chiavi private, credenziali e certificati digitali.

Il malware supporta inoltre funzionalità di dirottamento degli appunti, cattura dello schermo ed esecuzione remota di codice, offrendo agli aggressori il controllo quasi totale sui dispositivi infettati. Su macOS la persistenza viene garantita attraverso lo strumento di avvio di Apple, integrandosi come un LaunchAgent.

Mosyle afferma che la struttura del malware corrisponde al modello di Malware-as-a-Service, in cui gli sviluppatori vendono strumenti già pronti ad affiliati con capacità tecniche limitate. Questo tipo di modello ha contribuito all’aumento significativo degli infostealer quest’anno, con un incremento del 28% solo nel 2025, come segnalato da Jamf.

Questa scoperta segue una serie di recenti attacchi focalizzati su npm, dove pacchetti dannosi come colortoolsv2 e mimelib2 hanno sfruttato smart contract di Ethereum per nascondere malware di secondo stadio. In entrambi i casi, gli aggressori hanno utilizzato tecniche di offuscamento e infrastrutture sviluppatori fidate per eludere i controlli.

ModStealer estende questa tendenza oltre i repository di pacchetti, dimostrando come i criminali informatici stiano potenziando le loro strategie attraverso diversi ecosistemi per compromettere gli ambienti di sviluppo e colpire direttamente i portafogli di criptovalute.