Un malware recién identificado, bautizado como ModStealer, está poniendo en el punto de mira a los usuarios de criptoactivos en macOS, Windows y Linux. Según la firma de seguridad Mosyle, el código consiguió permanecer casi un mes sin levantar sospechas tras subirse a VirusTotal, una ventana de tiempo que deja claro que las defensas basadas solo en firmas llegan tarde.
El objetivo de la amenaza es exfiltrar credenciales y vaciar monederos, con un foco particular en extensiones de navegador. Para colarse, los atacantes recurren a ofertas de trabajo falsas orientadas a desarrolladores, un anzuelo que favorece la ejecución de un script NodeJS fuertemente ofuscado capaz de sortear los motores antivirus tradicionales.
Qué es ModStealer y cómo actúa
ModStealer es un ladrón de información diseñado para el saqueo de datos sensibles. Una vez ejecutado, puede capturar el portapapeles, realizar capturas de pantalla y aceptar la ejecución de comandos remotos, otorgando a sus operadores un control amplio del equipo comprometido; no es moco de pavo para quien gestione fondos en el día a día.
El malware emplea una ofuscación intensa en JavaScript/NodeJS para eludir los motores basados en firmas, lo que explica su sigilo prolongado. Además, su alcance es multiplataforma, lo que le permite operar de forma similar en entornos de Apple, Microsoft y Linux sin demasiadas fricciones.
En el plano de los navegadores, los investigadores han observado una lógica específica contra 56 extensiones de monedero (incluyendo Safari y opciones basadas en Chromium) orientada a extraer claves privadas, credenciales, certificados y archivos de configuración, justo lo necesario para tomar control de los fondos.
Vías de infección y el negocio detrás
La campaña detectada tira de anuncios de empleo falsos y “tareas de prueba” para desarrolladores, un método que busca equipos donde ya exista Node.js y otras herramientas de desarrollo, reduciendo trabas a la ejecución del paquete malicioso; ojo con abrir adjuntos sin verificar el remitente y el dominio.
ModStealer encaja en el esquema Malware-as-a-Service (MaaS): paquetes listos para usar que afiliados con poca experiencia pueden desplegar. Este modelo ha alimentado la proliferación de infostealers en los últimos meses y explica el salto de calidad en campañas discretas y dirigidas.
El hallazgo coincide con incidentes de cadena de suministro en NPM (paquetes como colortoolsv2 y mimelib2), donde se intentó intercambiar direcciones de destino en operaciones sobre Ethereum, Solana y otras redes. Aunque el impacto declarado fue limitado (en torno a 1.000 dólares) y equipos como Uniswap, MetaMask, Aave, Sui, Trezor o Lido indicaron no haberse visto afectados, el episodio ilustra cómo los atacantes explotan la confianza en repositorios populares.
Persistencia, C2 e indicadores, y cómo mitigar
En equipos macOS, la permanencia se garantiza abusando de launchctl para registrarse como LaunchAgent, de modo que el proceso vuelve a arrancar tras cada inicio sin llamar la atención del usuario. La exfiltración apunta a un servidor de Comando y Control (C2) alojado en Finlandia, con infraestructura encaminada a través de Alemania para ofuscar el origen.
Entre los indicadores de compromiso documentados figura un archivo oculto llamado .sysupdater.dat, además de conexiones salientes inusuales a destinos sospechosos. Conviene revisar las entradas de arranque (LaunchAgents/LaunchDaemons), tareas programadas y reglas del cortafuegos en busca de actividad anómala.
De cara a la prevención, la “higiene” de los monederos cuenta y mucho: usa hardware wallets siempre que puedas y confirma en pantalla la dirección de destino (comprueba al menos los primeros y últimos seis caracteres) antes de aprobar. Mantén un perfil de navegador o dispositivo dedicado para el monedero e interactúa solo con extensiones de confianza.
Para la seguridad de las cuentas, guarda las frases semilla fuera de línea, activa la autenticación multifactor y emplea claves de acceso FIDO2 cuando estén disponibles. Si te piden “tareas de prueba”, exígelas en repositorios públicos y, antes de ejecutarlas, comprueba los scripts abriéndolas únicamente en una máquina virtual desechable sin wallets, claves SSH ni gestores de contraseñas.
Más allá del antivirus clásico, refuerza la detección con monitorización basada en comportamiento y telemetría de endpoints; mantener OS, navegadores y extensiones actualizados reduce la superficie de ataque. Verifica reclutadores y dominios y desconfía de archivos o scripts recibidos por canales no verificados, sobre todo si dependen de Node.js.
La combinación de sigilo, persistencia e impacto multiplataforma convierte a ModStealer en una amenaza con miga: aunque los incidentes recientes han sido contenidos, el vector de falsos empleos y el enfoque en extensiones de navegador obligan a elevar el listón con prácticas sólidas y herramientas que miren el comportamiento, no solo las firmas.
Continúar leyendo...