یکی از تازهترین تهدیدات سایبری در دنیای رمزارزها، در ۱۲ سپتامبر ۲۰۲۵ گزارش شد بدافزاری به نام ModStealer است که بهطور همزمان کاربران سیستمهای macOS، ویندوز و لینوکس را هدف قرار میدهد. این بدافزار با تمرکز بر سرقت کلیدهای خصوصی، گواهیها و افزونههای مرورگر مرتبط با کیفپولها طراحی شده است.
ModStealer دقیقاً چه کاری میکند؟
این بدافزار بهصورت ابزار سرقت اطلاعات (infostealer) طراحی شده و از لحظه اجرا، سراغ هر چیزی میرود که بتواند دارایی دیجیتال یا دسترسی شما را به خطر بیندازد. پژوهشگران امنیتی تأکید کردهاند که ModStealer نزدیک به یک ماه پس از بارگذاری روی VirusTotal عملاً برای موتورهای آنتیویروس نامرئی بود؛ نکتهای که خطر آلودگی خاموش را چند برابر میکند.
مسیر آلودگی: از «آگهی استخدام» تا «سرقت کلید»
الگوی توزیع، آشنا اما مؤثر است: آگهیهای استخدام جعلی که توسعهدهندگان و سازندگان وب۳ را هدف میگیرد. کاربر که جذب «تستِ مهارت» میشود، بستهی آلوده را نصب میکند و از همانجا ModStealer در پسزمینه لانه میکند؛ از کلیپبورد داده میدزدد، اسکرینشات میگیرد و حتی فرمانهای راهدور اجرا میکند. نتیجه، در بدترین سناریو، دستیابی مهاجم به داراییها و زیرساختهای تیمی است.
شیوهی کارکرد فنی: از NodeJS پنهانسازیشده تا ماندگاری سیستمی
تحلیلهای فنی نشان میدهد ModStealer با اسکریپتهای جاوااسکریپت مبتنی بر NodeJS و پنهانسازی شدید از دفاعهای امضامحور عبور میکند. روی macOS نیز با سوءاستفاده از سازوکار LaunchAgent/launchctl بهعنوان عامل پسزمینه ثبت میشود تا پس از ریاستارت هم فعال بماند. زیرساخت فرماندهی/کنترل (C2) بهصورت هاست در فنلاند توصیف شده که مسیرش از آلمان عبور میکند تا منشأ واقعی اپراتورها پنهان شود.
جدول: نشانهها و روشهای مقابله با ModStealer
| نشانه فعالیت بدافزار | ریسک اصلی | اقدام پیشنهادی |
|---|---|---|
| نصب از طریق فایلهای استخدامی جعلی | سرقت کلید خصوصی و دادهها | اجرای تستها در محیط مجازی ایزوله |
| ثبت بهعنوان عامل پسزمینه در macOS | ماندگاری بعد از ریاستارت | بررسی فعالیتهای ناشناس در Activity Monitor |
| دسترسی به کلیپبورد و گرفتن اسکرینشات | افشای اطلاعات حساس | استفاده از مرورگر ایمن و پروفایل جداگانه برای کیفپول |
| سرورهای ناشناس در اروپا | اختفای هویت مهاجم | نظارت بر ترافیک شبکه و بلاک کردن IP مشکوک |
چرا توسعهدهندگان وب۳ هدف اصلیاند؟
توسعهدهندگان اغلب کلیدها، توکنهای دسترسی و افزونههای کیفپول را کنار محیط توسعه نگه میدارند؛ این همجواری، سطح حمله را وسیع میکند. بههمین دلیل، کارشناسان امنیت زنجیرهبلوکی توصیه میکنند میان «جعبه توسعه» و «جعبه کیفپول» جداسازی سختگیرانه اعمال شود، و هر «تست استخدامی» صرفاً در یک ماشین مجازی یکبارمصرف و بدون هرگونه کلید، SSH یا مدیر رمز عبور باز گردد.
رعایت امنیت کیفپول و سختتر کردن نقاط پایانی
رویکرد دفاعی مؤثر از سختافزار تا نرمافزار امتداد دارد. استفاده از کیفپول سختافزاری و تأیید دستی آدرس مقصد روی نمایشگر دستگاه حداقل شش کاراکتر اول و آخر جلوی بسیاری از تقلبها را میگیرد. بهتر است برای تعامل با داراییها، پروفایل مرورگر قفلشده و اختصاصی یا حتی دستگاه مجزا داشته باشید و تنها با افزونههای معتبر و شناختهشده کار کنید. نگهداری عبارت بازیابی بهصورت آفلاین، فعالسازی MFA و استفاده از گذرواژههای فیزیکی FIDO2 نیز لایههای امنیتی حیاتی هستند.
جمعبندی
ModStealer یادآور این واقعیت است که مهاجمان دقیقاً همان نقطههای پُراصطکاکِ کاری مثل فرآیندهای جذب و ارزیابی را نشانه میگیرند. با جداسازی محیطها، استفاده از کیفپول سختافزاری، سختگیری روی مرورگر و افزونهها، و اجرای تستها در VM یکبارمصرف، میتوانید دامنهی خطر را بهشدت کاهش دهید. این تهدید نوظهور، آزمونی دوباره برای انضباط امنیتی جامعهی کریپتوست.
