话说有个叫GhostClaw的恶意软件最近闹得挺凶,专门把黑手伸向了苹果的Mac设备,想着办法要偷走咱们的机密。就在3月20号,搞IT的Jamf公司出来爆料了。这个软件挺狡猾的,专挑那些喜欢在GitHub上扒拉代码、习惯照README文档操作的开发者下手。因为大家平时在GitHub上拉代码、安东西那一套早就练熟了,所以根本看不出来这东西有啥不对劲。 其实它就是藏在那些看起来挺正经的SDK、交易工具或者开发实用程序里混水摸鱼。有些库一开始表现得特别规矩,好让大家信它,等到时机差不多了,就会突然加个恶意的安装步骤,让人根本反应不过来。安装说明通常会叫你去执行远程脚本,因为长得太像平时装软件的样子了,所以大家都会照做。这时候攻击者就直接把控制权给拿过去了。 最绝的是现在AI辅助工作流特别流行,它会自动去获取外部组件运行,这就让代码执行变得更隐蔽了。因为自动化工具包办了设置过程,大家对它的信任度就不由自主地变高了。而且这个恶意软件也没去硬破系统内核,也没在系统里留什么明显的后门。只要你一运行它,它就开始搞那个分阶段的攻击链,最后把你的凭证全给偷走了。 它弹出来的那个输密码的框框跟Mac OS系统自己的提示一模一样,还会用合法的系统工具去验证输入。因为所有操作都是在你给的权限里进行的,所以你很难一开始就怀疑它。苹果那套安全模型本来挺管用的,前提是你不能瞎跑别人的代码。但好多开发者为了求快求省事就把这层防线给破了。 为了防着这东西,Jamf公司也给开发者提了个醒:遇到要直接在Shell里导入命令的操作时,先别急着动手。最好先把脚本下到本地好好审一遍再跑。还有多瞅瞅代码库的历史记录和最近的活动轨迹,如果发现安装步骤突然变了或者沉寂很久突然有动静,那就得多留个心眼了。