安全機(jī)構(gòu)Mosyle最新發(fā)布的報告揭示，一款名為“ModStealer”的跨平臺惡意軟件正悄然擴(kuò)散。該程序自首次現(xiàn)身惡意代碼監(jiān)測平臺以來已持續(xù)活躍近一個月，但截至目前仍未被多數(shù)主流殺毒軟件納入檢測范圍，引發(fā)業(yè)界對新型網(wǎng)絡(luò)威脅的高度關(guān)注。

這款惡意軟件展現(xiàn)出罕見的跨平臺特性，能夠同時攻擊macOS、Windows和Linux三大主流操作系統(tǒng)。其核心攻擊目標(biāo)直指用戶數(shù)字資產(chǎn)，通過內(nèi)置的56種瀏覽器擴(kuò)展竊取模塊，可精準(zhǔn)提取加密貨幣錢包私鑰、各類賬號憑證、系統(tǒng)配置文件及數(shù)字證書等敏感信息。研究人員特別指出，該程序?qū)afari等主流瀏覽器的錢包擴(kuò)展具有針對性攻擊能力。

在傳播方式上，攻擊者采用社會工程學(xué)手段，將惡意代碼偽裝成技術(shù)類職位的招聘附件進(jìn)行傳播。當(dāng)用戶下載運(yùn)行后，基于NodeJS框架構(gòu)建的高度混淆Java文件會立即啟動，其代碼結(jié)構(gòu)經(jīng)過特殊處理，可有效規(guī)避傳統(tǒng)基于特征碼匹配的檢測機(jī)制。這種技術(shù)特性使其成為近年來少見的能同時威脅三大操作系統(tǒng)的惡意程序。

追蹤發(fā)現(xiàn)，被竊數(shù)據(jù)通過加密通道傳輸至位于北歐的服務(wù)器集群，其中主要接收節(jié)點(diǎn)部署在芬蘭。進(jìn)一步溯源顯示，相關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施與德國存在技術(shù)關(guān)聯(lián)，這種跨國部署策略顯著增加了溯源難度。安全專家分析認(rèn)為，攻擊者通過多層代理架構(gòu)刻意隱藏真實(shí)位置，試圖規(guī)避國際執(zhí)法機(jī)構(gòu)的追蹤。

Mosyle安全團(tuán)隊根據(jù)其運(yùn)作模式判斷，ModStealer符合“惡意軟件即服務(wù)”（MaaS）的典型特征。開發(fā)者可能將核心程序模塊化封裝，通過地下市場向不具備技術(shù)能力的犯罪團(tuán)伙提供定制化攻擊服務(wù)。這種商業(yè)模式極大降低了網(wǎng)絡(luò)攻擊的技術(shù)門檻，使得更多非專業(yè)人員能夠?qū)嵤┚艿木W(wǎng)絡(luò)盜竊活動。