Un nuevo malware especializado en robo de información, ModStealer, se ha colado en la conversación de ciberseguridad por su capacidad de atacar a usuarios de criptomonedas en macOS, Windows y Linux sin levantar sospechas a simple vista.

La firma de seguridad Mosyle lo identificó y confirmó que el código pasó casi un mes sin ser detectado por los principales motores antivirus tras su envío a VirusTotal, un periodo demasiado largo que deja claro que las defensas basadas solo en firmas se quedan cortas.

¿Qué es ModStealer y por qué preocupa?

ModStealer es un ladrón de datos diseñado para vaciar monederos digitales y capturar credenciales, certificados y archivos de configuración. Su pieza central es un script JavaScript/NodeJS fuertemente ofuscado, lo que dificulta que los antivirus identifiquen patrones conocidos.

Los investigadores hallaron una lógica de ataque contra 56 extensiones de monedero basadas en navegador, incluidas las de Safari y Chromium, con el objetivo de extraer claves privadas y otra información sensible clave para acceder a fondos.

Cómo se propaga ModStealer: ofertas de trabajo que son un anzuelo

Especialistas en seguridad operacional recomiendan verificar la legitimidad de reclutadores y dominios, exigir que las tareas se compartan en repositorios públicos y abrir cualquier material dudoso en una máquina virtual desechable, sin monederos ni credenciales.

Capacidades técnicas y persistencia

Una vez ejecutado, ModStealer habilita captura del portapapeles, toma de capturas de pantalla y ejecución remota de comandos, lo que otorga a los operadores un control muy amplio del equipo comprometido.

En macOS, asegura su permanencia abusando de launchctl para registrarse como LaunchAgent y ejecutarse en segundo plano tras cada reinicio. Entre los indicadores de compromiso documentados destaca un archivo oculto llamado .sysupdater.dat.

La exfiltración se dirige a un servidor de Comando y Control (C2) alojado en Finlandia, con infraestructura encaminada a través de Alemania para desdibujar el origen real, según el análisis de la red.

Evasión y modelo MaaS

El uso intensivo de ofuscación permite que el malware eluda las defensas basadas en firmas, lo que explica su invisibilidad durante semanas en escáneres tradicionales.

Además, ModStealer encaja en el patrón Malware-as-a-Service (MaaS): paquetes listos para usar que afiliados con pocos conocimientos técnicos pueden desplegar, facilitando la proliferación de infostealers en los últimos meses.

Impacto y contexto reciente en el ecosistema cripto

El descubrimiento coincide con incidentes en el ecosistema de desarrollo, como publicaciones maliciosas en NPM (por ejemplo, colortoolsv2 o mimelib2) que intentaron reemplazar direcciones de destino en transacciones de Ethereum, Solana y otras cadenas.

Las alertas lanzadas por responsables de seguridad del sector ayudaron a contener el daño: el impacto directo reportado fue limitado (en torno a 1.000 dólares), y equipos como Uniswap, MetaMask, Aave, Sui, Trezor o Lido confirmaron que no se vieron afectados.

Por ahora no hay víctimas concretas de ModStealer confirmadas públicamente, pero la combinación de sigilo, persistencia y alcance multiplataforma eleva el riesgo para usuarios y plataformas que dependen de extensiones de navegador.

Medidas prácticas para reducir el riesgo

• Hardware wallets siempre que sea posible; verifica en pantalla la dirección de destino (al menos los primeros y últimos seis caracteres).
• Usa un perfil de navegador o equipo dedicado para el monedero e interactúa solo con extensiones de confianza.
• Mantén las frases semilla fuera de línea, activa MFA y utiliza claves de acceso FIDO2 cuando estén disponibles.
• Separa estrictamente el entorno de desarrollo (dev box) del entorno de monedero (wallet box); abre pruebas en una VM desechable.
• Verifica reclutadores y dominios; desconfía de archivos/scripts enviados por canales no verificados, especialmente si dependen de Node.js.
• Aplica monitorización continua y detección basada en comportamiento; mantén sistema, navegadores y extensiones siempre actualizados.

Todo apunta a que ModStealer aprovecha bien el tirón del MaaS y la superficie de ataque de los navegadores: con técnicas de evasión y una cadena de ejecución discreta, obliga a dar un paso más allá de los antivirus de siempre y a reforzar hábitos y controles en el día a día.