網絡安全公司Jamf近日發布技術警示,一款名為GhostClaw的macOS系統惡意軟件正在通過開發者社區擴散。該惡意程序專門針對蘋果生態,通過偽裝成合法開發工具的方式竊取用戶憑證和敏感數據。研究人員發現,攻擊者巧妙利用了開發者對GitHub等平臺的信任機制,將惡意代碼植入常用工具鏈中。
據技術分析報告顯示,GhostClaw的傳播路徑極具迷惑性。攻擊者會先在GitHub等代碼托管平臺創建看似正規的SDK或開發工具庫,經過數月維護建立可信度后,突然在更新版本中植入惡意安裝腳本。由于開發者通常采用自動化工具鏈執行安裝流程,這些隱蔽的惡意代碼往往能在用戶毫無察覺的情況下完成部署。
該惡意軟件采用分階段攻擊模式,初始階段僅執行常規系統監控,待獲取足夠權限后才會啟動數據竊取模塊。其偽造的密碼輸入彈窗與macOS原生界面高度相似,甚至調用系統合法組件進行輸入驗證,使得普通用戶難以辨別真偽。更危險的是,所有操作都在用戶主動授予的權限范圍內進行,有效規避了傳統安全軟件的檢測機制。
安全專家指出,當前AI輔助編程工具的普及加劇了此類攻擊的威脅。自動化代碼執行流程雖然提升了開發效率,但也擴大了攻擊面。當開發者習慣性執行"curl | sh"這類直接導入遠程腳本的命令時,實際上為攻擊者打開了系統后門。Jamf的研究顯示,超過60%的開發者不會對下載的腳本進行源碼審查。
針對此類威脅,安全團隊建議開發者采取多重防護措施:建立腳本白名單制度,對所有自動化執行的代碼進行完整性校驗;定期審查代碼庫的提交歷史,警惕長期不活躍項目突然更新;使用沙箱環境測試新工具,避免在主系統直接運行可疑程序。對于企業環境,建議部署終端行為分析系統,實時監控異常的系統調用行為。
蘋果官方安全團隊回應稱,現有安全機制仍能有效防御已知威脅,但強調用戶需保持警惕。系統權限管理專家提醒,macOS的權限模型基于用戶主動授權,當開發者為追求效率隨意點擊"允許"按鈕時,實際上在削弱系統自身的防護能力。這場攻防戰的本質,是便利性與安全性的持續博弈。
