咱把时间拨回3月20日,网络安全公司Jamf昨天刚放了个大招,揭露了一款叫GhostClaw的恶意软件,专门把目标对准了苹果Mac设备,想方设法去偷用户的机密信息。这家伙现在混在GitHub代码库和开发者工具里面到处乱跑,因为大家伙儿平时早就习惯了常规的安装流程,一点违和感都没有。咱们平时干活的时候,只要是从GitHub上拉代码,照着README说明敲个命令就能安上。这种模式太容易让人信了,GhostClaw就趁着机会溜进这一流程里去了。 它经常藏在那些看着挺正规的代码库里,比如SDK、交易工具或者开发者实用程序里。有些代码库一开始还挺正常,先攒点信誉,等大家伙儿都信了以后才偷偷加上恶意步骤。这就让人很难一下子反应过来有啥变化。安装说明里往往让你去下载并执行个远程脚本,跟平时设置电脑的流程太像了,看着就挺平常。但这正是人家趁机抢控制权的手段。 再加上现在AI辅助工作流太火了,动不动就去自动抓外部组件或者技能来跑,这让代码执行过程变得更不透明了。因为自动化工具接管了设置步骤,咱们的信任范围也就不知不觉被扩大了。GhostClaw根本不用动系统内核,也不留啥明显的痕迹。只要一执行它就会启动一连串攻击步骤,最后把你的凭证和数据都给偷走。 它弹出来的密码框跟macOS系统的行为一模一样,还用合法的工具来验你的输入。反正所有事都在你给的权限范围内干的,谁能一下子就起疑心呢?其实苹果的安全模型还是挺管用的,不过前提是得看用户能不能听劝别瞎跑那些没信用的代码。开发者现在就为了图省事、图快才总是乱搞,这不就把防线给冲垮了嘛。 针对这种情况Jamf也给支招了:以后别什么直接导入Shell的命令都跑了,先停下来看看啥作用再说。最好把脚本下载到本地仔细审查一下,千万别脑子一热就点执行。另外多看眼代码库的历史记录和动静,如果安装步骤突然改了或者死鱼眼了很久突然又活了过来,那你可得长个心眼了。