昨日,网络安全机构 Jamf 发布了一篇关于新型恶意软件 GhostClaw 的公告,该软件专门针对苹果 Mac 设备,旨在窃取用户的机密信息。
据报道,GhostClaw 是一种专门针对 macOS 系统的信息窃取型恶意软件,它通过 GitHub 代码库和开发者工具广泛传播。由于开发者早已习惯于常规的安装流程,因此在运行此类恶意软件时往往不会产生怀疑。
在日常开发中,开发者往往会毫不犹豫地从 GitHub 下载代码,并根据 README 文件的指示进行操作。这种熟悉的流程很容易建立起信任感,而 GhostClaw 正是利用这一点潜入其中。
这种恶意软件通常隐藏在看似合法的代码库中,例如 SDK、交易工具或开发者工具。部分代码库会在一段时间内保持正常运作,从而建立起信誉,随后才引入恶意的安装步骤,使得开发者难以察觉这一变化。
安装说明常常包含下载并执行远程脚本的命令,这些命令与常见的安装流程非常相似,因此显得十分平常。然而,这正是攻击者获得控制权的关键环节。
同时,AI 辅助工作流会自动获取并运行外部组件或“技能”,这进一步降低了代码执行过程的透明度。由于自动化工具接手了安装步骤,用户的信任范围无形中被扩大了。
GhostClaw 不需要破解系统内核,也不会留下明显的入侵痕迹。一旦被执行,它会启动一系列分阶段的攻击,最终窃取用户凭证并收集数据。
它出现的密码提示框与 macOS 的标准行为高度一致,并且使用合法的系统工具来验证用户的输入。由于所有操作都在用户授予的权限范围内进行,用户很难在第一时间察觉异常。
尽管苹果的安全模型仍然有效,但其前提是用户不会盲目执行不受信任的代码。然而,开发者追求速度和便利的习惯往往削弱了这一防线。
针对 GhostClaw 恶意软件的防护措施,该公司建议开发者在执行任何直接导入 Shell 的命令前先停下来仔细检查其功能。建议先将脚本下载到本地并进行审查,避免盲目执行。
此外,开发者还应该检查代码库的历史记录和活动轨迹,如果发现安装步骤突然发生变化或长时间沉寂后突然更新,应提高警惕。