就在昨天,3 月 20 号那天,搞网络安全的 Jamf 发了篇博文,曝光了个叫 GhostClaw 的坏家伙,专门盯着苹果的 Mac 设备下手,要去偷用户的私密数据。这回 IT 之家也给大伙儿分析了一下,说 GhostClaw 就是一款针对 macOS 的偷情报工具,它现在正借着 GitHub 那些代码库还有开发工具到处溜达呢。 开发者早就习惯了那一套常规流程,看到这种熟悉的动作基本都会照做,根本不会觉得有啥不对劲。平时大家都爱从 GitHub 上直接拉代码下来,然后照着 README 里头的步骤一路点点确认,这事儿太顺手了。GhostClaw 就是看准了这点空子,大摇大摆地混进了这些常规流程里头。 它最喜欢藏在那些看起来很正规的代码库里头,像是 SDK 、做交易的工具或者实用程序什么的。有些仓库刚开始那会儿挺正常的,先混个脸熟积攒点信誉,过段时间才突然冒出个恶意的安装步骤,这种缓兵之计特别容易让开发者放松警惕。安装说明里写着让你去下载远程脚本再跑一下命令,这操作看着跟平时设系统差不多平常。 可就因为太像日常操作了,反而被坏人钻了空子直接拿到了控制权。再说 AI 辅助工作流这玩意儿还会自己去拉外部的组件和技能包进来跑,这就更让人看不透具体发生了啥。本来是想图个方便让自动化工具干活儿的,结果用户对它的信任也就被无形中扩大了不少。 GhostClaw 挺鸡贼的,不用去动系统内核那块最核心的地方,也不会留下啥特别显眼的入侵痕迹。一旦成功运行起来,它就会开始搞那种分阶段的攻击链,最后专门去把用户的凭证给捞出来还要收集数据。 它弹出的那个让你填密码的窗口做的跟 macOS 系统自带的一样真,还用了合法的工具来验证你输入的是不是正确的口令。因为所有这些事儿都是在你自己同意给权限的范围内干的,所以用户一开始往往都很难发现不对劲的地方。 虽说苹果的安全模型看着还挺管用的,但这前提是你得假定大家都不会傻到去盲目的执行那些来历不明的代码。现在很多开发者太追求速度和便利了,这也就把之前那个安全防线给冲垮了。以后大伙儿在动手安装之前最好还是多留个心眼儿:看看仓库的历史记录和活动情况有没有突然变样;要是好长时间没动静突然更新了一次;或者说安装的步骤莫名其妙地改了一版;这些都得格外当心才行!