信息窃取软件已成 Mac 用户最大威胁：ModStealer 再被披露

IT之家 9 月 12 日消息，科技媒体 9to5Mac 昨日（9 月 11 日）发布博文，报道称苹果设备管理与安全公司 Mosyle 最新披露名为“ModStealer”的跨平台信息窃取恶意软件，自一个月前出现在 VirusTotal 以来，未被任何主流杀毒引擎发现。

ModStealer 不仅针对 macOS，还能在 Windows 和 Linux 系统运行，其核心目的是窃取数据，尤其是加密货币钱包、账号凭证、配置文件和证书。研究人员发现，该恶意软件内置针对 56 种浏览器钱包扩展（包括 Safari）的代码，可直接获取私钥和敏感账户信息。

据分析，ModStealer 通过伪造招聘开发者的广告诱导目标下载恶意文件，攻击载荷是经过高度混淆的 JavaScript 文件（基于 NodeJS），能绕过所有基于特征码的防御工具。这种跨平台特性意味着更多企业与个人可能受影响，威胁范围远超 Mac 用户。

除数据窃取外，ModStealer 还能截取剪贴板和屏幕，并执行远程代码。其中远程代码执行功能尤其危险，可能让攻击者几乎完全控制被感染设备。在 macOS 上，它利用苹果的 launchctl 工具，将自己植入为 LaunchAgent，实现长期隐蔽驻留。

Mosyle 的调查还追踪到窃取数据的服务器位于芬兰，但相关基础设施与德国有关，疑似用于掩盖攻击者真实位置。

结合功能特征与传播方式，Mosyle 认为 ModStealer 符合“恶意软件即服务”模式，即开发者将恶意程序打包出售给无技术背景的“加盟者”，后者可自行定制攻击目标。

IT之家援引博文介绍，Jamf 今年早些时候报告称信息窃取恶意软件数量激增至 28%，使其成为 2025 年 Mac 恶意软件家族中的主要类型。