macOS 遭遇攻击：基于 Python 的信息窃取器通过虚假广告与安装包传播

基于 Python 的信息窃取器通过恶意广告和安装包攻击 macOS

微软 Defender 安全研究团队近期发现，针对 Apple macOS 系统的信息窃取攻击激增，标志着威胁从传统的 Windows 目标转向跨平台扩展。这些攻击活动利用 跨平台 Python 恶意软件，并滥用受信任的分发渠道（如 虚假广告 和 木马化安装包）渗透 macOS 环境。

关键发现：攻击者如何利用 macOS 漏洞

这些攻击活动背后的威胁行为者采用 社会工程学策略，如 ClickFix 技术，诱骗用户执行恶意载荷。一旦部署，Python 信息窃取器将收集以下敏感数据：

• 浏览器凭据
• 加密货币钱包信息
• 系统元数据

微软研究人员强调，Python 作为一种广泛使用的跨平台语言，使攻击者能够通过最小的代码修改，跨多个操作系统扩展攻击规模。这一趋势反映了 平台无关性网络犯罪 的更广泛演变，威胁行为者利用受信任的平台（如虚假广告、破解软件安装包）最大化攻击范围。

技术细节：攻击链与载荷传递

虽然微软的报告未披露具体的 CVE 编号，但攻击方法涉及以下步骤：

1. 初始访问：受害者通过 恶意广告（malvertising） 或 虚假软件安装包（如盗版应用程序）被诱导。
2. 执行：Python 恶意软件通过 木马化软件包 传递，通常伪装成合法工具。
3. 数据外泄：窃取的数据通过 加密通道 传输至攻击者控制的服务器，以规避检测。

影响分析：为何安全团队应高度重视

信息窃取器攻击向 macOS 的扩展凸显了多个关键风险：

• 攻击面扩大：macOS 在企业环境中的日益普及使其成为网络犯罪分子的高价值目标。
• 跨平台威胁：Python 的多功能性使攻击者能够在 Windows、macOS 和 Linux 上 复用代码。
• 规避技术：滥用受信任的平台（如广告、安装包）帮助恶意软件绕过 传统安全控制。

针对 macOS 用户和组织的建议

为缓解这些威胁，微软及网络安全专家建议采取以下措施：

• 验证软件来源：仅从 官方应用商店（如 Apple App Store）或经过验证的开发者处下载应用程序。
• 监控可疑活动：部署 终端检测与响应（EDR） 解决方案，识别异常的 Python 进程或网络连接。
• 用户培训：培训员工识别 钓鱼链接、虚假广告和木马化安装包。
• 限制 Python 执行：将 Python 使用限制在 已批准的脚本，并监控未经授权的执行。
• 更新防御措施：确保 防病毒/反恶意软件 工具能够检测跨平台威胁。

微软的发现凸显了 主动防御 macOS 安全 的必要性，因为威胁行为者不断创新，超越传统的 Windows 中心化攻击。组织应对 macOS 系统采取与 Windows 终端同等的安全审查级别，以防止数据泄露。