3 月 21 日消息，網絡安全公司 Jamf 昨日（3 月 20 日）發布博文，披露名為 GhostClaw 的惡意軟件，專門針對蘋果 Mac 設備，竊取用戶機密信息。

援引博文介紹，GhostClaw 是一款專門針對 macOS 系統的信息竊取惡意軟件，目前正通過 GitHub 代碼庫和開發者工具廣泛傳播。由于開發者早已習慣了常規的安裝流程，運行該惡意軟件時往往毫無違和感。

在日常工作中，開發者通常會毫不猶豫地從 GitHub 拉取代碼、按照 README 說明操作并運行安裝命令。這種熟悉的模式極易建立信任，GhostClaw 便借機潛入這一常規流程。

該惡意軟件經常潛伏在看似合法的代碼庫中，例如 SDK、交易工具或開發者實用程序。部分代碼庫會在較長時間內保持正常，借此建立信譽，隨后才引入惡意的安裝步驟，導致開發者極難察覺這種轉變。

安裝說明通常包含下載并執行遠程腳本的命令，且與常見的設置流程高度相似，因而顯得非常平常。然而，攻擊者正是借此直接獲取了控制權。

同時，AI 輔助工作流會自動獲取并運行外部組件或“技能”，進一步降低了代碼執行過程的透明度。由于自動化工具接管了設置步驟，用戶的信任范圍被無形中擴大了。

GhostClaw 無需破解系統內核，也沒有留下明顯的入侵痕跡。一旦執行，它會啟動一個分階段的攻擊鏈，最終竊取用戶憑證并收集數據。

它彈出的密碼提示框與 macOS 的系統行為高度一致，并且利用合法的系統工具來驗證用戶的輸入。由于所有活動均在用戶授予的權限范圍內發生，用戶很難在第一時間產生懷疑。

蘋果的安全模型依然有效，但其前提是假設用戶不會盲目執行不受信任的代碼，而開發者追求速度和便利的習慣往往打破了這一防線。

該公司指出，為防范 GhostClaw 惡意軟件，開發者在運行任何直接導入 Shell 的命令前務必停下，仔細檢查其實際功能。建議先將腳本下載到本地并進行審查，切勿盲目執行。

開發者應查看代碼庫的歷史記錄和活動軌跡，若安裝步驟突然改變或長期沉寂后突然更新，都需要格外警惕。