网络安全公司Jamf近日发布技术警示,一款名为GhostClaw的macOS系统恶意软件正在通过开发者社区扩散。该恶意程序专门针对苹果生态,通过伪装成合法开发工具的方式窃取用户凭证和敏感数据。研究人员发现,攻击者巧妙利用了开发者对GitHub等平台的信任机制,将恶意代码植入常用工具链中。
据技术分析报告显示,GhostClaw的传播路径极具迷惑性。攻击者会先在GitHub等代码托管平台创建看似正规的SDK或开发工具库,经过数月维护建立可信度后,突然在更新版本中植入恶意安装脚本。由于开发者通常采用自动化工具链执行安装流程,这些隐蔽的恶意代码往往能在用户毫无察觉的情况下完成部署。
该恶意软件采用分阶段攻击模式,初始阶段仅执行常规系统监控,待获取足够权限后才会启动数据窃取模块。其伪造的密码输入弹窗与macOS原生界面高度相似,甚至调用系统合法组件进行输入验证,使得普通用户难以辨别真伪。更危险的是,所有操作都在用户主动授予的权限范围内进行,有效规避了传统安全软件的检测机制。
安全专家指出,当前AI辅助编程工具的普及加剧了此类攻击的威胁。自动化代码执行流程虽然提升了开发效率,但也扩大了攻击面。当开发者习惯性执行"curl | sh"这类直接导入远程脚本的命令时,实际上为攻击者打开了系统后门。Jamf的研究显示,超过60%的开发者不会对下载的脚本进行源码审查。
针对此类威胁,安全团队建议开发者采取多重防护措施:建立脚本白名单制度,对所有自动化执行的代码进行完整性校验;定期审查代码库的提交历史,警惕长期不活跃项目突然更新;使用沙箱环境测试新工具,避免在主系统直接运行可疑程序。对于企业环境,建议部署终端行为分析系统,实时监控异常的系统调用行为。
苹果官方安全团队回应称,现有安全机制仍能有效防御已知威胁,但强调用户需保持警惕。系统权限管理专家提醒,macOS的权限模型基于用户主动授权,当开发者为追求效率随意点击"允许"按钮时,实际上在削弱系统自身的防护能力。这场攻防战的本质,是便利性与安全性的持续博弈。
