Une nouvelle menace malware ciblant les portefeuilles crypto détectée
Un nouveau type de malware, conçu spécifiquement pour voler les données des portefeuilles crypto, échappe depuis près d’un mois à tous les moteurs antivirus majeurs, selon la société de sécurité des appareils Apple, Mosyle, rapporte TopTribune.
Dénommé ModStealer, cet infostealer est distribué par le biais d’annonces falsifiées visant les développeurs et utilise un script NodeJS fortement obfusqué pour contourner les défenses basées sur les signatures. Les chercheurs de Mosyle ont noté que le code du malware est brouillé et agrémenté de techniques rendant sa détection impossible par les outils antivirus conventionnels.
Cette obfuscation permet aux attaquants d’introduire des instructions malveillantes dans un système tout en éludant les analyses de sécurité traditionnelles qui détecteraient normalement un code simple et non altéré.
Contrairement à la plupart des malwares ciblant Mac, ModStealer est également mult plate-forme, frappant les environnements Windows et Linux. Sa mission principale est l’exfiltration de données, et il est présumé inclure des instructions pré-chargées visant 56 extensions de portefeuilles de navigateur afin d’extraire des clés privées, des identifiants et des certificats.
En outre, ce malware prend en charge le détournement de clipboard, la capture d’écran et l’exécution de code à distance, offrant ainsi aux attaquants la possibilité de prendre un contrôle presque total des dispositifs infectés. Sur macOS, la persistance est obtenue via l’outil de lancement d’Apple, s’établissant comme un LaunchAgent.
Mosyle affirme que cette construction s’aligne avec le profil du « Malware-as-a-Service », où des développeurs vendent des outils prêts à l’emploi à des affiliés avec une expertise technique limitée. Ce modèle a entraîné une forte augmentation des infostealers cette année, avec Jamf rapportant une hausse de 28 % en 2025 seulement.
Cette découverte fait suite à des attaques récentes ciblant npm, où des paquets malveillants tels que colortoolsv2 et mimelib2 ont utilisé des contrats intelligents Ethereum pour dissimuler des malwares de deuxième niveau. Dans les deux cas, les attaquants ont exploité l’obfuscation et les infrastructures de développeurs de confiance pour contourner la détection.
ModStealer étend ce schéma au-delà des dépôts de paquets, montrant comment les cybercriminels élèvent leurs techniques à travers les écosystèmes pour compromettre les environnements de développement et cibler directement les portefeuilles crypto.
