一件怪事:一个名为Werkbit Setup的磁盘镜像,应用捆绑包用合法的开发者ID签名,甚至带上了官方公证票据——这意味着macOS的Gatekeeper在首次启动时直接放了行。层层包装之下,一个叫做CrashStealer的窃密程序正静默运行,它把自己伪装成苹果内置的崩溃报告工具,连包名和图标都与com.apple.crashreporter如出一辙。

Jamf在2026年5月初首次从VirusTotal上注意到这个样本,当时它尚在开发阶段;到7月初,野外检测确认它已成熟并投入实际攻击。与传统以AppleScript脚本或轻量Objective-C包装的窃密软件不同,CrashStealer完全用原生C++编写,核心围绕一个名为MacOSData的内部类构建——尽管目标与Atomic、MacSync、Phexia等同类有重叠,但技术实现明显拉开了差距。这恰好引出了一场关于macOS恶意软件是否会走向专业化的辩论。

打开网易新闻 查看精彩图片

正方观点很明确:专业化的信号已经出现。CrashStealer不是简单套壳,它在客户端用苹果CommonCrypto框架实施了AES-256-GCM加密,将窃取的数据先行加密再打包成ZIP并通过libcurl外传。这种先加密后传输的做法,加上控制流平坦化、分层反调试等对抗分析的手段,表明攻击者像运营正规软件一样经营恶意代码。从攻击链也能看出精细设计:初始落点盘镜像连容器本身都做了签名——这在恶意DMG活动中并不多见;启动后它通过GitHub托管的基础设施抓取混淆过的Shell脚本,经多层Base64解码下载伪装成CrashReporter.app的有效载荷;运行时它会用dscl工具本地验证受害者的登录密码,解锁钥匙串,先探查已安装的安全工具再进行信息收割。其收割范围覆盖Chromium系浏览器(Chrome、Brave、Edge、Opera、Vivaldi)和Firefox的凭证存储,约80种涉及以太坊、Solana、Cosmos、TON等生态的加密货币钱包扩展,以及1Password、Bitwarden、LastPass等14款密码管理器,还包含用户登录钥匙串及文稿、下载目录的文件系统侦察。这一切都被打包成类似商业软件的操作,专业化特征不言而喻。

反方则认为,仅凭一个样本就断言趋势为时过早。多数macOS窃密软件仍以AppleScript、薄封装脚本为主,开发成本极低,而CrashStealer虽然技术层次更高,但也可能只是开发者的个人偏好或实验,未必能代表整个地下产业链的升级。而且它的分发渠道依旧利用社会工程诱骗用户打开磁盘镜像,本质上仍依赖受害者不警觉,并未跳出传统投递模式。即便签名和公证能绕过Gatekeeper,一旦苹果撤销相关证书,这种手段就会失效,专业化未必能带来持久的优势。

综合来看,我更倾向于这样一个判断:CrashStealer的出现是macOS威胁从机会主义的脚本攻击向结构化、商业式运营转变的一个切片,但它并不是全面转型的号角。真正值得注意的,是它把客户端加密和反分析写得如此规整,这反映出幕后攻击者愿意为逃避检测和长期驻留投入研发成本。就像持久化方式上,它直接复制并自行重签,然后植入LaunchAgent标签,已经完全脱离了脚本戴帽子的小打小闹。当恶意软件开始像正经产品一样迭代更新、关注代码质量与操作安全时,防御方就不能再只用“macOS比较安全”的旧视角审视局面了。于用户而言,不运行来源不明的磁盘镜像、不轻易输入系统密码,依然是守住大门的最朴素的方法。