新型 macOS 恶意软件利用进程注入与远程通信窃取钥匙串凭证

网络安全研究人员发现针对Web3和加密货币平台的新型信窃新型macOS恶意软件活动，其采用的意软用进技术手段在苹果生态系统中极为罕见。这款被命名为NimDoor的程注程通匙串恶意软件通过进程注入能力和加密WebSocket通信窃取敏感用户凭证与金融数据，标志着macOS威胁的入远显著升级。

攻击始于典型的取钥社交工程手段 ：朝鲜黑客组织通过Telegram冒充可信联系人安排虚假商务会议。香港云服务器受害者会收到伪造的凭证Zoom会议邀请，附带要求从攻击者控制的新型信窃域名（如support.us05web-zoom[.]forum）下载并执行名为"Zoom SDK更新脚本"的恶意文件，这些域名刻意模仿Zoom官方基础设施。意软用进

该恶意软件区别于普通macOS威胁的程注程通匙串核心在于其技术复杂性和多层架构。SentinelOne分析团队发现
，高防服务器入远攻击者利用通常为调试工具保留的取钥系统权限（entitlements） ，在macOS上实施罕见的凭证进程注入技术
。这种手法使恶意代码能够植入合法进程 ，新型信窃既增强隐蔽性又规避传统检测机制。意软用进

攻击链采用多种编程语言编写的程注程通匙串组件 ：AppleScript负责初始访问，C++实现进程注入，建站模板而核心功能则由Nim语言编译的二进制文件完成。这种技术组合表明攻击者致力于开发能有效入侵现代macOS系统 、同时难以分析检测的复杂工具
。

恶意软件最具创新性的特性是其持久化机制——前所未有地利用了macOS信号处理功能。源码库NimDoor没有采用LaunchAgents或Login Items等传统方法，而是通过监控系统信号维持驻留。其CoreKitAgent组件为SIGINT（中断信号）和SIGTERM（终止信号）建立处理程序，有效拦截终止恶意进程的尝试。

当用户或系统试图通过标准方法终止恶意软件时，这些信号处理程序会被触发，使进程无法正常退出。源码下载此时恶意软件会借机重新安装自身 ：将LaunchAgent写入~/Library/LaunchAgents/com.google.update.plist 
，并复制组件文件确保系统重启后仍能保持持久化 。该机制通过以下代码实现：

登录或重启激活持久化机制后的执行链（来源 ：SentinelOne）

恶意软件通过WebSocket Secure(wss)协议与命令控制服务器wss://firstfromsep[.]online/client通信 ，采用RC4加密与base64编码的多层保护。该加密通道用于外泄窃取的钥匙串（Keychain）凭证 、Chrome/Firefox等主流浏览器的免费模板数据以及Telegram聊天记录，同时有效规避网络监控工具的检测 。

最新评论