網絡安全公司Jamf近日發布安全警示，一款名為GhostClaw的惡意軟件正針對macOS系統展開攻擊，其主要目標為蘋果Mac設備用戶，通過竊取機密信息實施網絡犯罪。該惡意軟件利用開發者群體的工作習慣，通過看似合法的代碼庫和工具進行傳播，具有極強的隱蔽性。

據安全研究人員分析，GhostClaw的傳播途徑主要依托GitHub等開源代碼平臺。開發者在日常工作中習慣于從這些平臺獲取代碼并直接運行，而攻擊者正是利用了這種信任模式，將惡意代碼隱藏在SDK、交易工具或開發者實用程序等常見項目中。部分代碼庫會通過長期正常運營積累信譽，隨后在更新中植入惡意安裝步驟，使得開發者難以察覺異常。

該惡意軟件的攻擊鏈條設計精妙，其安裝指令往往與常規設置流程高度相似。例如，要求用戶下載并執行遠程腳本的命令會偽裝成標準配置步驟，甚至借助AI輔助工作流自動運行外部組件，進一步模糊了惡意行為的邊界。由于自動化工具接管了部分操作流程，用戶對代碼執行的監控范圍被無形擴大，降低了風險感知能力。

GhostClaw的攻擊方式具有顯著的技術特征：它不依賴系統內核漏洞，也不會留下明顯的入侵痕跡。執行后會啟動多階段攻擊鏈，最終實現用戶憑證竊取和數據收集。其偽造的密碼提示框與macOS原生系統界面幾乎一致，并能調用合法系統工具驗證用戶輸入，所有操作均在用戶授予的常規權限范圍內進行，極大增加了識別難度。

安全專家指出，蘋果現有的安全防護機制仍有效，但其前提是用戶不執行不受信任的代碼。然而開發者群體普遍存在的"追求效率"心理，使得他們容易忽視代碼審查環節，這成為該惡意軟件突破防線的主要原因。例如，直接通過Shell執行遠程命令的操作方式，在開發場景中極為常見卻暗藏風險。