昨天网络安全公司Jamf把一个叫GhostClaw的恶意软件曝光了,这个软件主要是针对苹果的Mac设备。GhostClaw其实是通过GitHub代码库和开发者工具悄悄扩散的。IT之家提到,这款软件专门用来窃取用户机密信息,针对的是Mac系统的操作系统。开发者们都习惯用GitHub获取代码,按照README说明操作安装,这种模式让他们容易忽略恶意软件的存在。GhostClaw就藏在合法的代码库中,比如SDK或者是开发工具里。有些库会一直表现正常一段时间,然后才引入恶意步骤,让开发者很难察觉变化。安装命令通常只是下载和运行远程脚本,和常见流程很像。AI辅助工作流会自动获取外部组件和技能执行代码流程,用户对信任范围也无形中扩大了。GhostClaw攻击链有好几个阶段,最终获取用户凭证和数据收集。它弹出的密码提示框和系统行为高度一致,使用户很难产生怀疑。苹果的安全模型还是有效果的,但是这次开发者追求速度和便利的习惯打破了防线。为了防止GhostClaw袭击到自己的Mac设备上,开发者们一定要先停下来仔细检查命令内容再执行操作,不要直接导入Shell脚本运行。把脚本下载到本地仔细审查一遍是个好习惯。还要注意查看代码库的历史记录和活动轨迹,如果有突然改变或者沉寂后突然更新都要警惕起来。