网络安全公司Jamf发布了一个预警:GhostClaw这个恶意软件正在开发者圈里悄悄扩散。这家伙专门盯着苹果的生态系统,伪装成开发者常用的工具来偷取凭证和敏感数据。这还不算完,攻击者给GitHub这种平台的信任机制搞出了一个漏洞,把恶意代码偷偷塞到大家常用的工具链里。GhostClaw的传播手法太狡猾了。他们先是在GitHub上建个看起来很正规的SDK或者开发库,维护个几个月积累些信任之后,就在更新里植入了恶意脚本。开发者们用自动化工具装东西的时候,根本没注意到这个流程已经被“动手脚”了。 GhostClaw就像玩游戏一样分阶段搞攻击。一开始它只干点儿系统监控的事,等权限到手了才开始偷数据。它弹出来的那个假的输入框跟macOS系统自带的长得一模一样,连验证都是用系统合法的组件做的,普通人根本分不清真假。而且这恶意软件所有的动作都是在用户主动给它的权限范围内进行的,这下传统杀毒软件想拦都拦不住。 专家说现在AI帮着写代码让这个威胁更大了。虽然大家用自动化工具效率高了,但安全漏洞也跟着变多了。特别是那些习惯敲“curl | sh”这种直接下载远程脚本命令的人,其实是在给系统留后门。Jamf的研究发现,超过60%的开发者根本懒得去看下载来的脚本到底写了啥东西。 为了对付这些威胁,安全团队给大家支了几招:先建个脚本白名单;每次执行自动化代码之前都要验验身子;多翻翻代码库的历史记录;用沙箱环境试一下新工具;企业环境里最好加个行为分析系统盯着系统调用。苹果官方也回应说他们的安全机制还是管用的,但还是得靠用户自己留神。权限专家提醒说macOS的防护就是看你自己点不点击“允许”,为了图个方便乱点按钮的话,其实是在拆自己的台呢。这真是便利性和安全性之间的一场持久战啊。