你下载的“免费剪贴板管理器”,很可能正悄悄复制你的浏览器记录、密码和加密货币钱包。Jamf Threat Labs 7月2日披露了一款叫 PamStealer 的恶意软件,专挑 macOS 下手,伪装成开源工具 Maccy,通过虚假网站分发一个恶意 AppleScript 应用。一旦双击安装,这场偷窃就算是开了个头。

它的第一步,是光明正大地问你要管理员密码。应用会弹出一个仿冒的 macOS 授权提示,等你输入后,直接调用系统原生的可插拔认证模块(PAM)来验证密码是否有效。这手操作恶心在,攻击者不仅拿到了最高权限,还顺手做了一次“凭据质检”——没用的密码直接丢掉,只保留可用的,再接着往下偷。

打开网易新闻 查看精彩图片

不过,在真正开偷之前,PamStealer 还会做个环境检查。它会先看看系统特征、键盘布局和区域设置,确认这台 Mac 值不值得动手。一旦判断有利可图,再悄悄拉取第二阶段载荷——一个用 Rust 编写的组件,并设置好持久化机制,确保你重启电脑它也赖着不走。

第二阶段的 Rust 载荷才是真正的“收割机”。它的目标清单非常具体:浏览器 Cookie、浏览历史、已保存的登录凭据、SQLite 数据库、剪贴板内容,以及加密货币钱包数据。可以说,你在 Mac 上留下的关键数字痕迹,它都要。

偷完还不算,PamStealer 会把赃物加密后再传给攻击者的命令与控制服务器,让你就算截获了流量也看不懂。而选择用 Rust 语言编写,也让整个攻击链条更难被逆向分析——部分字符串和代码路径要到运行时才解析出来,安全人员想拆解它,得多花不少工夫。

想象一下,你只是想找个好用的剪贴板工具,结果对方连你钱包的钥匙都想复制。这条偷渡路径再次提醒我们,哪怕是在安全口碑一向不错的 macOS 上,下载渠道和密码授权都不能手滑。