偽裝成 Mac 剪貼簿程式的惡意程式:以 Rust 編寫的 PamStealer 竊取密碼與錢包金鑰
目錄
你可能想知道的事
• macOS 使用者如何被誘騙安裝一個偽裝成熱門剪貼簿管理器 Maccy 的竊密程式?
• 這個以 Rust 為基礎的新型資訊竊取程式使用哪些技術來驗證並外洩敏感憑證與加密錢包金鑰?
主要議題
Jamf Threat Labs 的安全研究人員發現一個針對搜尋開放原始碼剪貼簿管理器 Maccy 的誤導性活動。攻擊者建立了相似網站,散布一個磁碟映像檔,內含名為 Maccy.scpt 的惡意 AppleScript 檔案。使用者開啟該檔案時,會看到指示要求他們在 Apple 的 Script Editor 中執行該指令;惡意程式碼被隱藏在文件的較下方以規避簡單檢查。
該惡意活動放置了第一階段的 AppleScript,利用 macOS 的自動化功能來取得並執行第二階段的有效載荷。此腳本沒有使用常見的 shell 工具(如 curl 或 zsh),而是採用 JavaScript for Automation 與原生 macOS API 下載下一階段的二進位檔。這種方式減少了可觀察的程序數量,並可能讓傳統偵測工具更難發現。
Jamf Threat Labs 將這個惡意程式追蹤命名為 PamStealer,指涉其一項核心行為:它嘗試透過 macOS 的可插入式驗證模組(PAM)驗證受害者的登入密碼,然後再蒐集憑證。此驗證步驟有助於惡意程式確認其取得的驗證資料正確,並可能讓其安裝後能更有效地運作。
第二階段的有效載荷是一個為 Apple Silicon 系統編譯的 Rust 寫成的二進位檔。它會試圖偽裝成合法的 macOS 元件,例如 Finder 或 Software Update,以融入環境。該 dropper 並不以明文保存設定,而是從主機指紋(如 CPU 架構、地區、鍵盤配置與時區等項目)導出一個加密金鑰,並使用該金鑰解密經完整性檢查的設定。該設定包含有效載荷的 URL 與預定的安裝路徑,為作業安全與目標鎖定增加一層保護。
一旦安裝,PamStealer 會執行多項惡意行為:它可以外洩瀏覽器儲存的憑證與 Keychain 條目、監控剪貼簿以擷取敏感資料與加密貨幣錢包金鑰、在端點建立持久性,並透過加密通道將竊取的資料傳送至遠端指揮與控制伺服器。如果該二進位檔判定運行環境與其主機衍生指紋不符,則會悄然終止以避免被偵測。
為了擴大對受保護資料的存取,該惡意程式會顯示一個經社交工程製作的 Finder 樣式警示,要求使用者授予「完全磁碟存取權限」。值得注意的是,這個提示可能在初次感染後最多延遲 40 分鐘才出現,降低使用者將請求與先前下載連結起來的可能性。如果授權,惡意程式能讀取 Mail、Messages、Time Machine 備份與其他受保護資源,顯著提升其能蒐集的資料數量與敏感性。
Jamf 的研究人員亦警告,攻擊者越來越常購買廣告空間以誘導受害者下載惡意檔案。同一研究團隊觀察到一則在 X(前稱 Twitter)上的贊助廣告,宣稱是 DynamicLake;該廣告將訪客導向一個指示他們在終端機執行安裝指令的網站。該有效載荷分析揭露了一個近期的 Atomic(MacSync)Stealer 變體。使用經驗證的帳戶與廣告投放增加了表面上的信任,幫助這些社交工程誘餌成功。
發現 PamStealer 屬於一個更廣泛的趨勢:威脅者將惡意軟體偽裝成合法的開發工具、擴充套件或開源專案來散播。近期事件包括透過偽造的 OpenAI 儲存庫散布的惡意 Rust 資訊竊取程式、一個暴露 GitHub 內部儲存庫的惡意 Visual Studio Code 擴充套件,以及針對 AI 公司所使用開發工具的供應鏈攻擊。這些活動凸顯攻擊者願意利用受信任的管道與開發者導向資源來接觸目標。
Jamf 已將其發現回報給 Apple,並指出截至報告時,尚未確認 PamStealer 在實際環境中有活躍運作的個案。儘管如此,觀察到的技術與設計選擇——主機指紋門檻、加密設定、以原生 API 為基礎的下載、以及延遲的權限提示——代表了避免偵測、維持持久性與竊取有價值憑證的複雜手法。
關鍵重點: 使用者在從搜尋結果或廣告下載工具時應保持謹慎;即便看似無害的自動化指令(例如執行 AppleScript)也可能成為在 macOS 上進行高風險憑證竊取的管道。
關鍵洞見表
| 面向 | 描述 |
|---|---|
| 散布方式 | 仿冒網站提供包含 AppleScript 的磁碟映像,指示使用者在 Script Editor 中執行。 |
| 第一階段行為 | AppleScript 使用 JavaScript for Automation 與 macOS API 下載第二階段二進位檔,未使用常見的 shell 工具。 |
| 第二階段有效載荷 | 針對 Apple Silicon 的 Rust 二進位檔,偽裝成 Finder/Software Update,並使用由主機指紋解鎖的加密設定。 |
| 憑證驗證 | 在蒐集憑證前,透過 macOS PAM 驗證受害者的登入密碼,增加對竊取資料的信心。 |
| 資料竊取能力 | 外洩瀏覽器憑證、Keychain 資料、剪貼簿內容,若獲得完全磁碟存取權限則可存取受保護資料。 |
| 規避技術 | 主機特定的加密設定、原生 API 下載、延遲的特權提示與程序偽裝以降低偵測機率。 |
後續...
展望未來,防禦者與平台維護者應持續優先處理數項領域以降低此類活動的成功率。首先,對開發專案與廣告內容加強驗證與聲譽信號,可協助使用者分辨合法軟體與仿冒品。其次,端點防護應監控 macOS 自動化 API(JavaScript for Automation、AppleScript)與不尋常的原生 API 下載模式,以便及早發現可疑的多階段攻擊鏈。
此外,教育使用者不要執行來自不受信任網站的腳本——以及避免因廣告驅動的搜尋結果而執行開發工具相關指令——仍然很重要。企業應考慮制定政策以限制未簽章腳本的執行、強制最小權限原則,並要求升級提示與使用者操作在內容上有關聯。
最後,持續研究主機指紋防護、開源工具的安全散布,以及針對延遲或分階段提示(例如要求完全磁碟存取)改良的遙測機制將具有價值。對使用者體驗與平台層級警示作出微幅改善,解釋為何會請求權限——以及當權限請求與近期使用者操作無關時提示該情況——可降低延遲社交工程提示的成效。 持續在安全研究人員、平台提供者與廣告平台之間的合作,對破壞這些演進中的供應與廣告式散布管道至關重要。