Un malware recién identificado llamado ModStealer está poniendo en jaque a los usuarios de criptomonedas en macOS, Windows y Linux, con especial foco en monederos basados en navegador y credenciales de acceso.
De acuerdo con la firma de seguridad Mosyle, el código malicioso pasó casi un mes sin ser detectado por los principales motores antivirus tras subirse a VirusTotal, lo que incrementa el riesgo para quienes confían únicamente en defensas basadas en firmas.
¿Qué es ModStealer y cómo opera?
ModStealer es un ladrón de información orientado a vaciar monederos y recopilar datos sensibles. Emplea un script JavaScript/NodeJS fuertemente ofuscado para esquivar firmas conocidas, facilitando la ejecución silenciosa y la exfiltración de datos sin levantar sospechas.
Una vez comprometido el equipo, el malware habilita captura del portapapeles, capturas de pantalla y ejecución de comandos remotos, dotando a los atacantes de una capacidad de control muy amplia sobre el sistema afectado.
Los investigadores también han observado una lógica específica para atacar 56 extensiones de monedero en navegadores, incluidas extensiones de Safari y de navegadores basados en Chromium, con el objetivo de extraer claves privadas, certificados y archivos de credenciales.
Vías de infección: falsos empleos que apuntan a desarrolladores
La campaña se difunde mediante anuncios falsos de empleo dirigidos a desarrolladores y creadores del ecosistema Web3. En muchos casos, los atacantes piden completar “tareas de prueba” o descargar paquetes supuestamente inofensivos que, en realidad, instalan el código de ModStealer.
Este enfoque busca equipos donde ya exista Node.js o entornos de desarrollo similares, maximizando la probabilidad de ejecución del script y minimizando alertas en el proceso de instalación.
Persistencia en macOS e infraestructura de mando y control
En equipos de Apple, el malware abusa de launchctl para registrarse como LaunchAgent y garantizar su permanencia tras reinicios, integrándose como un proceso en segundo plano sin llamar la atención del usuario.
La información robada se envía a un servidor de Comando y Control (C2) alojado en Finlandia, aunque la infraestructura parece encaminarse a través de Alemania para ocultar el origen real de los operadores.
Entre los indicios de compromiso figuran la presencia de un archivo oculto “.sysupdater.dat” y conexiones salientes inusuales hacia dominios sospechosos, señales útiles para equipos de respuesta ante incidentes.
Un caso de Malware-as-a-Service en plena expansión
Los investigadores sitúan a ModStealer dentro del modelo Malware-as-a-Service (MaaS), en el que desarrolladores venden paquetes listos para usar a afiliados con escasa experiencia técnica, facilitando la proliferación de infostealers.
En la misma línea, informes del sector, como los de Jamf, apuntan a incrementos significativos de este tipo de amenazas en entornos Mac, una tendencia que refuerza la necesidad de controles de seguridad más allá de la simple detección por firmas.
Impacto en el ecosistema cripto y ataques recientes a la cadena de suministro
El hallazgo coincide con incidentes en NPM, donde paquetes maliciosos (como colortoolsv2 y mimelib2) intentaron intercambiar direcciones de destino en transacciones sobre Ethereum, Solana y otras redes, aprovechando la confianza de los desarrolladores en repositorios populares.
Tras las alertas del CTO de Ledger, Charles Guillemet, el impacto directo se mantuvo limitado, con pérdidas aproximadas de 1.000 dólares, y equipos como Uniswap, MetaMask, Aave, Sui, Trezor u Lido informando que no resultaron afectados; aun así, el episodio muestra cómo este tipo de ataques escala con rapidez.
Medidas prácticas para usuarios y equipos técnicos
Frente a amenazas como ModStealer, conviene reforzar la higiene de monederos y la seguridad de endpoints, combinando buenas prácticas con monitorización basada en comportamiento.
- Usar monederos de hardware y confirmar en pantalla la dirección de destino (comprobar al menos los primeros y últimos seis caracteres).
- Mantener un perfil de navegador o dispositivo dedicado para el monedero; interactuar solo con extensiones confiables.
- Guardar frases semilla fuera de línea; activar MFA y, cuando sea posible, emplear claves de acceso FIDO2.
- Separar estrictamente el entorno de desarrollo (“dev box”) del de monedero (“wallet box”) y abrir tareas de prueba en una máquina virtual desechable.
- Verificar reclutadores y dominios; solicitar que las pruebas se compartan mediante repositorios públicos.
- Aplicar monitorización continua y detección por comportamiento; mantener OS, navegadores y extensiones al día.
Para desarrolladores, es clave verificar la legitimidad de cualquier propuesta de trabajo y desconfiar de archivos o scripts recibidos por canales no verificados, especialmente si están relacionados con Node.js.
ModStealer confirma que el robo de información está evolucionando hacia campañas más dirigidas y discretas; la combinación de ofuscación, persistencia y C2 complica su detección, pero una estrategia que incluya segmentación de entornos, hardware wallets y detección basada en comportamiento puede reducir de forma notable la superficie de ataque.
