IT之家 3 月 21 日消息，網(wǎng)絡(luò)安全公司 Jamf 昨日（3 月 20 日）發(fā)布博文，披露名為 GhostClaw 的惡意軟件，專門針對蘋果 Mac 設(shè)備，竊取用戶機密信息。

IT之家援引博文介紹，GhostClaw 是一款專門針對 macOS 系統(tǒng)的信息竊取惡意軟件，目前正通過 GitHub 代碼庫和開發(fā)者工具廣泛傳播。由于開發(fā)者早已習(xí)慣了常規(guī)的安裝流程，運行該惡意軟件時往往毫無違和感。

在日常工作中，開發(fā)者通常會毫不猶豫地從 GitHub 拉取代碼、按照 README 說明操作并運行安裝命令。這種熟悉的模式極易建立信任，GhostClaw 便借機潛入這一常規(guī)流程。

該惡意軟件經(jīng)常潛伏在看似合法的代碼庫中，例如 SDK、交易工具或開發(fā)者實用程序。部分代碼庫會在較長時間內(nèi)保持正常，借此建立信譽，隨后才引入惡意的安裝步驟，導(dǎo)致開發(fā)者極難察覺這種轉(zhuǎn)變。

安裝說明通常包含下載并執(zhí)行遠程腳本的命令，且與常見的設(shè)置流程高度相似，因而顯得非常平常。然而，攻擊者正是借此直接獲取了控制權(quán)。

同時，AI 輔助工作流會自動獲取并運行外部組件或“技能”，進一步降低了代碼執(zhí)行過程的透明度。由于自動化工具接管了設(shè)置步驟，用戶的信任范圍被無形中擴大了。

GhostClaw 無需破解系統(tǒng)內(nèi)核，也沒有留下明顯的入侵痕跡。一旦執(zhí)行，它會啟動一個分階段的攻擊鏈，最終竊取用戶憑證并收集數(shù)據(jù)。

它彈出的密碼提示框與 macOS 的系統(tǒng)行為高度一致，并且利用合法的系統(tǒng)工具來驗證用戶的輸入。由于所有活動均在用戶授予的權(quán)限范圍內(nèi)發(fā)生，用戶很難在第一時間產(chǎn)生懷疑。

蘋果的安全模型依然有效，但其前提是假設(shè)用戶不會盲目執(zhí)行不受信任的代碼，而開發(fā)者追求速度和便利的習(xí)慣往往打破了這一防線。

該公司指出，為防范 GhostClaw 惡意軟件，開發(fā)者在運行任何直接導(dǎo)入 Shell 的命令前務(wù)必停下，仔細檢查其實際功能。建議先將腳本下載到本地并進行審查，切勿盲目執(zhí)行。

此外，開發(fā)者應(yīng)查看代碼庫的歷史記錄和活動軌跡，若安裝步驟突然改變或長期沉寂后突然更新，都需要格外警惕。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。