Un nuevo malware está sacudiendo al ecosistema cripto y poniendo en alerta a investigadores de ciberseguridad.
Se trata de ModStealer, un código malicioso diseñado específicamente para robar datos de monederos digitales y que, lo más preocupante, está logrando evadir todos los principales motores antivirus.
Y no es el único, hace unos días apareció otro hackeo cripto en Javascript que afectó a monederos.
Virus cripto que afecta a macOS, Windows y Linux
La firma de seguridad Mosyle fue la primera en dar la voz de alarma, confirmando que este ‘infostealer’ no solo afecta a macOS, sino que también opera en Windows y Linux, lo que lo convierte en una amenaza transversal.
Según los investigadores, el malware lleva casi un mes activo sin ser detectado, un hecho que lo hace especialmente inquietante.
¿Dónde se esconde el virus ‘ModStealer’?
El equipo de Mosyle descubrió que ModStealer se propaga a través de falsos anuncios de reclutadores, una táctica pensada para llegar a desarrolladores con entornos de NodeJS ya instalados.
Esto no es casual: el malware se esconde dentro de un script de NodeJS fuertemente ofuscado, lo que significa que su código está “enredado” y disfrazado para esquivar las defensas basadas en firmas. Estas herramientas suelen detectar patrones reconocibles en el código, pero al estar ocultos, el script logra ejecutarse sin levantar sospechas.
En palabras de Shān Zhang, director de seguridad de la firma Slowmist:
ModStealer evade la detección de las soluciones antivirus más usadas y representa un riesgo importante para todo el ecosistema de activos digitales. A diferencia de otros stealers, destaca por su capacidad multiplataforma y por una cadena de ejecución sigilosa que lo hace prácticamente indetectable.
Qué roba y cómo actúa el malware cripto
Una vez ejecutado, ModStealer se lanza a escanear el sistema en busca de información sensible. Sus objetivos principales son los monederos cripto basados en navegador, pero también extrae credenciales del sistema, certificados digitales y archivos de configuración.
Mosyle identificó que el malware trae instrucciones preinstaladas para atacar hasta 56 extensiones de monederos, incluyendo las de Safari, con el objetivo de capturar claves privadas y datos de cuentas. Además, es capaz de:
- Secuestrar el portapapeles para modificar direcciones de wallet copiadas por el usuario.
- Hacer capturas de pantalla sin que el afectado lo note.
- Ejecutar código remoto, lo que en la práctica permite a los atacantes tomar el control casi total del dispositivo.
Según Zhang, lo que más peligra es:
Claves privadas, frases semilla y API keys de exchanges podrían verse comprometidas, lo que se traduce en pérdidas directas de activos.
A mayor escala, advierte, un robo masivo de datos de monederos en extensiones de navegador podría desencadenar exploits on-chain.
¿A dónde se manda la información extraída?
En sistemas Mac, el malware se asegura una presencia duradera abusando de la herramienta launchctl de Apple, incrustándose como un LaunchAgent que se activa en cada arranque. Así consigue permanecer oculto y seguir enviando datos a un servidor remoto.
Según los investigadores, el servidor que recibe la información robada se aloja en Finlandia, aunque está conectado con infraestructura en Alemania, una maniobra clásica para ocultar la ubicación real de los operadores.
Sigue leyendo: casas de apuestas con criptomonedas.
El auge del ‘Malware-as-a-Service’
Este nuevo virus llamado ModStealer forma parte de una tendencia mayor: el auge del “Malware-as-a-Service”, en el que desarrolladores crean herramientas listas para usar y las venden a terceros con pocos conocimientos técnicos. De hecho, solo en 2025, la firma Jamf reportó un 28% de aumento en este tipo de infostealers.
¿Una wallet cripto segura contra virus?
Su nombre no engaña: hablamos de Best Wallet, la mejor billetera cripto sin KYC, que ha pasado varias auditorías de seguridad. Aun así, es importante tener mucho cuidado con los malware que pueden infectar tu ordenador. No importa qué wallet uses: un virus puede entrar por otras vías, esconderse entre tus archivos y atacar directamente el navegador que utilizas.
Por qué confiar en 99Bitcoins
Fundado en 2013, los miembros del equipo de 99Bitcoins han sido expertos en cripto desde los primeros días de Bitcoin.
Investigación Semanal
+100kLectores mensuales
Colaboradores expertos
+2000Proyectos crypto analizados
