为什么你的Mac明明没点可疑链接,密码和加密货币却可能瞬间蒸发?答案藏在一场精心设计的"招聘"里。
微软威胁情报团队最近披露的攻击链,把社交工程玩出了新高度——不碰系统漏洞,专攻人性弱点。朝鲜黑客组织"蓝宝石雪暴"(Sapphire Sleet)假扮招聘人员,用一场虚构的技术面试,让受害者亲手递出自己电脑的钥匙。
攻击第一步:建立信任比写代码更重要
这不是传统意义上的"钓鱼邮件"。Sapphire Sleet的成员会潜伏在LinkedIn等专业社交平台,主动接触目标——通常是加密货币、金融、风投和区块链领域的从业者。
他们会花时间经营关系:聊职业规划、讨论技术趋势、表现出对候选人背景的真实兴趣。整套流程长到足以让大多数人放下戒备。
当"面试"进入技术环节,攻击者会发送一个名为"Zoom SDK更新"的文件(Zoom SDK Update.scpt)。文件名刻意模仿开发者熟悉的工具链,.scpt后缀暗示这是苹果脚本,但大多数人只会看到"Zoom"和"更新"两个关键词。
这个文件是编译过的AppleScript,双击后会在macOS自带的脚本编辑器中打开。由于脚本编辑器是苹果官方应用,系统不会弹出任何安全警告——没有"来自不明开发者"的拦截,没有Gatekeeper的红旗。
受害者看到的界面极其正常:几行关于升级流程的说明文字,下方是看似空白的编辑区域。实际上,那几千行空白下面藏着即将执行的恶意代码。
技术拆解:五阶段投递的"俄罗斯套娃"
微软分析师追踪到这次攻击的完整执行链,发现Sapphire Sleet用了一套模块化的五阶段投递系统,每个阶段对应特定的用户代理标识:mac-cur1到mac-cur5。
第一阶段(mac-cur1)是核心调度器。脚本启动后,首先调用macOS合法的softwareupdate二进制文件,但传入一个无效参数——这只是为了制造"系统正在更新"的假象,让受害者误以为一切正常。
紧接着,脚本使用curl命令从远程服务器拉取下一阶段载荷,直接传递给osascript解释器执行。这种设计让每一阶段都极轻量,单看任何一段代码都像是正常的系统维护操作。
微软特别指出:将AppleScript专门用作凭证收割组件,这种执行模式组合在Sapphire Sleet的历史活动中从未出现过。这意味着该组织正在迭代工具集,而非简单复用旧套路。
第五阶段完成后,恶意软件已经绕过macOS的多层防护:Gatekeeper(检查应用签名)、透明度同意与控制(TCC,管理敏感权限)、以及用户密码提示——因为整个流程始于用户主动双击文件,系统默认这是"用户自愿行为"。
收割清单:你的数字资产如何被分类打包
一旦激活,恶意软件会系统性地扫描并提取:
• 系统登录密码(通过钓鱼对话框或内存读取)
• Telegram会话数据(包括加密聊天记录的访问凭证)
• 浏览器存储的所有密码和Cookie
• 加密货币钱包密钥(明确针对Ledger Live和Exodus两款主流应用)
• SSH密钥(用于服务器访问的加密凭证)
• macOS钥匙串完整数据库(包含Wi-Fi密码、应用凭证、证书等)
所有数据被压缩后,通过8443端口静默上传至攻击者控制的服务器。这个端口通常用于HTTPS替代方案,在企业防火墙中较少被严格审查。
攻击者的行业偏好暴露了其精准定位:加密货币、金融、风投、区块链。这些领域的从业者往往持有高价值数字资产,且工作性质需要频繁使用Telegram、多重钱包和远程服务器访问——恰好匹配恶意软件的收割清单。
防御困境:当"用户授权"成为绕过手段
这次攻击暴露了一个尴尬现实:macOS的安全架构在设计时假设"用户自愿执行的操作"是可信的。Gatekeeper检查应用签名,但脚本编辑器是苹果自己签名的;TCC提示敏感权限,但用户刚刚亲手输入了密码"完成安装"。
Sapphire Sleet的狡猾之处在于,他们把整个攻击链包装成"用户主动发起的正常流程"。没有漏洞利用,没有权限破解,只有对人性的精确计算。
微软发现该活动后已通过负责任披露机制通报苹果。目前苹果已部署XProtect签名更新,并在Safari中启用安全浏览保护,以检测和拦截与此活动相关的基础设施。
对于普通用户,防御这类攻击的核心在于打破"官方应用=安全"的直觉。脚本编辑器虽然是苹果原生工具,但它执行的代码却可能来自任何地方。面试前收到文件?先通过独立渠道核实对方身份——真正的招聘人员不会介意你多确认一步。
热门跟贴