Un nouveau malware ModStealer vole des clés crypto sur tous les systèmes

• Le malware ModStealer vole les données des portefeuilles crypto sur les systèmes macOS, Windows et Linux.
• Il se propage principalement via de fausses annonces de recruteurs utilisant des tâches en JavaScript non détectées.
• Les chercheurs avertissent que les outils antivirus ne détectent pas le malware, soulignant la nécessité de nouvelles défenses.

Un nouveau malware nommé ModStealer cible les utilisateurs de crypto sur macOS, Windows et Linux, menaçant les portefeuilles et les identifiants d'accès. La société de sécurité spécialisée sur Apple, Mosyle, a découvert cette souche après avoir constaté qu'elle était restée indétectée par les principaux moteurs antivirus pendant près d'un mois. Selon des sources, le malware a été téléchargé sur VirusTotal, une plateforme en ligne qui vérifie les fichiers pour détecter du contenu malveillant.

Mosyle a rapporté que ModStealer est conçu avec un code préchargé capable d'extraire des clés privées, des certificats, des fichiers d'identifiants et des extensions de portefeuilles basés sur navigateur. L'entreprise a découvert une logique de ciblage pour plusieurs portefeuilles, y compris ceux installés sur Safari et les navigateurs basés sur Chromium.

Les chercheurs ont indiqué que ModStealer persiste sur macOS en s'enregistrant comme agent d'arrière-plan. Ils ont retracé l'infrastructure serveur du malware jusqu'en Finlande, mais pensent que son itinéraire passe par l'Allemagne afin d'obscurcir la localisation de ses opérateurs.

Distribution via des recrutements trompeurs

L'analyse a révélé que ModStealer se propage via de fausses annonces de recruteurs visant les développeurs. Les attaquants envoient des tâches liées à l'emploi intégrant un fichier JavaScript fortement obscurci, conçu pour contourner la détection. Ce fichier contient des scripts préchargés ciblant 56 extensions de portefeuilles sur navigateur, y compris Safari, permettant le vol de clés et de données sensibles.

Mosyle a confirmé que les systèmes Windows et Linux sont également vulnérables. Cela fait de ModStealer l'une des rares menaces actives à avoir une portée multiplateforme aussi large.

L'entreprise a déclaré que ModStealer correspond au profil Malware-as-a-Service (MaaS). Dans ce modèle, les cybercriminels créent des kits d'infostealer prêts à l'emploi et les vendent à des affiliés qui peuvent manquer de compétences techniques. Cette tendance a accéléré les attaques en 2025, Jamf signalant une augmentation de 28 % de l'activité des infostealers cette année.

Mosyle a noté : « Pour les professionnels de la sécurité, les développeurs et les utilisateurs finaux, cela rappelle brutalement que les protections basées uniquement sur les signatures ne suffisent pas. Une surveillance continue, des défenses basées sur le comportement et une sensibilisation aux menaces émergentes sont essentielles pour garder une longueur d'avance sur les adversaires. »

Capacités croissantes des infostealers

ModStealer possède de nombreuses autres capacités en plus du vol d'extensions. Il détourne le presse-papiers en substituant les adresses de portefeuilles copiées par celles appartenant aux attaquants. Cela permet aux attaquants d'exécuter du code à distance, de capturer des écrans ou d'exfiltrer des fichiers. 

Sur macOS, le malware exploite LaunchAgents pour assurer sa persistance. Cela permet au programme malveillant de continuer à fonctionner même après un redémarrage du système, posant un risque à long terme pour les machines infectées.

Mosyle a expliqué que la structure de ModStealer ressemble fortement à celle d'autres plateformes MaaS. Les affiliés ont accès à des kits de malware complets et peuvent personnaliser leurs attaques. L'entreprise a ajouté que ce modèle alimente l'expansion des infostealers sur différents systèmes d'exploitation et secteurs d'activité.

Plus tôt en 2025, des attaques via des paquets npm malveillants, des dépendances compromises et de fausses extensions ont révélé comment les adversaires s'introduisent dans des environnements normalement de confiance pour les développeurs. ModStealer, en tant qu'étape suivante de cette évolution, parvient à s'intégrer dans des flux de travail à l'apparence légitime, rendant sa détection encore plus difficile.

À lire aussi :

Un passage des bugs de code à la manipulation de la confiance

Les failles de sécurité sont historiquement apparues dans le secteur crypto en raison de vulnérabilités dans les smart contracts ou les logiciels de portefeuilles. Mais ModStealer s'inscrit dans un changement de paradigme. Ses attaquants n'exploitent plus seulement des bugs ou des failles zero-day ; ils détournent la confiance.

Ils manipulent la façon dont les développeurs interagissent avec les recruteurs, supposent que les outils sont sûrs et s'appuient fortement sur les protections antivirus connues. Cette approche fait de l'humain le maillon le plus faible de la cybersécurité.

Les experts en sécurité recommandent une approche stricte. Les utilisateurs doivent isoler les activités liées aux portefeuilles en utilisant des machines séparées ou des environnements virtuels. Les développeurs doivent examiner très attentivement les tâches des recruteurs et enquêter sur les sources et les dépôts avant d'exécuter le code. Ils recommandent également de s'éloigner des systèmes antivirus purement basés sur les signatures au profit d'outils de détection antivirus comportementale, de solutions EDR et de la surveillance à l'exécution.

D'autres recommandations d'experts incluent des audits réguliers des extensions de navigateur, des permissions restreintes et des mises à jour logicielles. Ils estiment que cela réduira l'exposition aux menaces basées sur ModStealer.