Un nuevo malware denominado ModStealer está apuntando directamente a usuarios de criptomonedas en macOS, Windows y Linux, poniendo en riesgo billeteras, llaves privadas y credenciales.
Según la firma de ciberseguridad Mosyle, especializada en productos Apple, el software malicioso permaneció casi un mes sin ser detectado por los principales motores antivirus tras ser cargado en VirusTotal.
ModStealer está diseñado para extraer datos sensibles: llaves privadas, certificados, archivos de credenciales y extensiones de navegadores que integran billeteras cripto. El código incluye lógica específica para Safari y navegadores basados en Chromium.
En macOS, se mantiene activo registrándose como agente en segundo plano. La infraestructura, con servidores en Finlandia, estaría enrutada vía Alemania para ocultar el origen de los operadores.
Distribución mediante ofertas de trabajo falsas
El vector de distribución identificado son anuncios falsos de reclutamiento, una táctica que ha aumentado contra desarrolladores Web3.
Al instalar el paquete malicioso, el malware se incrusta en el sistema, opera en segundo plano, captura datos del portapapeles, toma capturas de pantalla y ejecuta comandos remotos.
Stephen Ajayi, experto en seguridad de Hacken, advirtió que las campañas de contratación fraudulenta usando “tareas de prueba” se han vuelto comunes:
“Los desarrolladores deben validar la legitimidad de reclutadores y dominios asociados, y ejecutar cualquier tarea en máquinas virtuales desechables, sin billeteras ni gestores de contraseñas”.
Recomendaciones de seguridad
Ajayi subrayó la importancia de una estricta separación entre entornos:
- “Dev box” (desarrollo)
- “Wallet box” (almacenamiento de criptoactivos)
Además, compartió medidas prácticas:
- Usar hardware wallets, verificando siempre direcciones en la pantalla del dispositivo.
- Mantener un navegador o dispositivo exclusivo para actividad con billeteras.
- Guardar semillas en almacenamiento offline y activar MFA o FIDO2 passkeys.
Contexto creciente de amenazas
La aparición de ModStealer coincide con un 2025 marcado por intentos de explotación en la cadena de suministro (supply chain attacks), como el reciente incidente con NPM, y con el auge de ataques contra desarrolladores y equipos cripto.
La lección es clara: la higiene básica de billeteras y el endurecimiento de endpoints se han convertido en medidas críticas para la supervivencia en un ecosistema cada vez más atacado.
