网络安全公司Jamf近日发布安全警示,一款名为GhostClaw的恶意软件正针对macOS系统展开攻击,其主要目标为苹果Mac设备用户,通过窃取机密信息实施网络犯罪。该恶意软件利用开发者群体的工作习惯,通过看似合法的代码库和工具进行传播,具有极强的隐蔽性。
据安全研究人员分析,GhostClaw的传播途径主要依托GitHub等开源代码平台。开发者在日常工作中习惯于从这些平台获取代码并直接运行,而攻击者正是利用了这种信任模式,将恶意代码隐藏在SDK、交易工具或开发者实用程序等常见项目中。部分代码库会通过长期正常运营积累信誉,随后在更新中植入恶意安装步骤,使得开发者难以察觉异常。
该恶意软件的攻击链条设计精妙,其安装指令往往与常规设置流程高度相似。例如,要求用户下载并执行远程脚本的命令会伪装成标准配置步骤,甚至借助AI辅助工作流自动运行外部组件,进一步模糊了恶意行为的边界。由于自动化工具接管了部分操作流程,用户对代码执行的监控范围被无形扩大,降低了风险感知能力。
GhostClaw的攻击方式具有显著的技术特征:它不依赖系统内核漏洞,也不会留下明显的入侵痕迹。执行后会启动多阶段攻击链,最终实现用户凭证窃取和数据收集。其伪造的密码提示框与macOS原生系统界面几乎一致,并能调用合法系统工具验证用户输入,所有操作均在用户授予的常规权限范围内进行,极大增加了识别难度。
安全专家指出,苹果现有的安全防护机制仍有效,但其前提是用户不执行不受信任的代码。然而开发者群体普遍存在的"追求效率"心理,使得他们容易忽视代码审查环节,这成为该恶意软件突破防线的主要原因。例如,直接通过Shell执行远程命令的操作方式,在开发场景中极为常见却暗藏风险。
