卡巴斯基：Stealka 信息窃取者通过伪造游戏 Mod 针对 MetaMask、Coinbase 等 80+ 钱包

卡巴斯基发现了一种名为 Stealka 的新型信息窃取器，通过伪造的游戏作弊、Mod 和盗版软件传播，这些恶意安装包有时托管在看似可信的开发者平台（如 GitHub、SourceForge、Softpedia、Google Sites）。该攻击依赖用户手动下载并运行捆绑恶意程序的安装器。运行于 Windows 后，Stealka 会窃取浏览器数据、已保存的密码和加密钱包信息，针对 100 多种基于 Chromium 与 Gecko 的浏览器（Chrome、Firefox、Edge、Brave、Opera）以及 80 多种加密钱包与扩展，包括 MetaMask、Coinbase Wallet、Binance Wallet、Phantom 与 Trust Wallet。它会窃取私钥、助记词、钱包文件路径与扩展数据（卡巴斯基称其针对 115+ 钱包、密码管理器和 2FA 扩展），并从消息应用（Discord、Telegram）、邮件客户端（Outlook、Thunderbird）、VPN（ProtonVPN、Surfshark）和记事软件中外发数据。部分捆绑包还包含加密挖矿组件，增加系统负担。遥测显示最初在俄罗斯检测到，随后在土耳其、巴西、德国与印度也有案例。卡巴斯基的缓解建议包括：避免使用盗版或非官方下载与作弊站点；仅从验证的创作者处获取 Mod；校验文件校验和或数字签名；保持 Windows 与应用打补丁；使用可靠的杀毒/端点防护；使用密码管理器并启用双因素认证；对助记词和私钥使用硬件钱包或保持离线存储。对交易者而言，被窃私钥会导致即时资产被转移及账户接管，并可能通过感染者传播社交工程攻击——因此谨慎下载和使用硬件钱包是减轻短期损失与长期安全风险的关键。