IT之家 7 月 14 日消息,網絡安全公司 Jamf Threat Labs 最新報告披露 CrashStealer 漏洞,影響約 80 個加密貨幣錢包擴展和 14 款密碼管理器。蘋果在收到 Jamf 通報后,已撤銷相關惡意應用簽名憑證。
![]()
Jamf 研究人員于 2026 年 5 月初在 VirusTotal 發現可疑樣本,并在 2026 年 7 月初于客戶 Mac 設備上看到匹配檢測結果。
專家通過深入分析后發現,在攻擊鏈的首個階段,主要通過 Werkbit 簽名并經蘋果公證應用分發。該應用帶有與 Emil Grigorov 關聯的有效 Developer ID,可繞過 Gatekeeper 未識別開發者警告。
攻擊者會誘導用戶手動下載并啟動 Werkbit,在后續投遞鏈運行后,會誘導用戶輸入有效 Mac 密碼,從而加載 CrashStealer 惡意載荷。
![]()
研究顯示,Werkbit 啟動后會從 GitHub 倉庫 mgothiclove / pkeys 獲取隱藏指令文件,再按指令從 endpoint-api-v1 [.]com 下載混淆腳本,隨后獲取、重新簽名并啟動 CrashStealer。
![]()
Jamf 還發現,同一攻擊者控制域名上存在名為“Command Panel”的在線登錄頁,并識別出多個仿冒會議或協作域名,相關名稱包括 Cohezo、Cordinex、Synerix、Collabox 和 Werknova。
![]()
相關惡意載荷封裝在 CrashReporter.dmg 文件中,安全專家解析后發現惡意程序會在隱藏目錄 /private/ tmp/.CrashReporter/ 下運行,后續還會在 ~/Library/ Caches / com.apple.crashreporter/ 下再安裝一份持久化副本,其權限請求覆蓋“完全磁盤訪問”、桌面、文稿、下載和可移動驅動器。
該木馬會彈出仿 macOS 授權窗口,誘導用戶輸入賬戶密碼。Jamf 稱,CrashStealer 利用蘋果合法 dscl 命令在本地校驗密碼,隨后解鎖 Mac 登錄鑰匙串,并復制 login.keychain-db 到隱藏暫存目錄。
IT之家援引博文介紹:代碼還瞄準 Chrome、Edge、Brave、Firefox、Opera、Vivaldi 等瀏覽器,收集配置文件、Cookie、已保存登錄信息和擴展數據,同時影響約 80 個加密貨幣錢包擴展和 14 款密碼管理器,包括:
- 1Password 密碼管理器
- Bitwarden 密碼管理器
- LastPass 密碼管理器
- Dashlane 密碼管理器
- Keeper 密碼管理器
- KeePassXC 密碼管理器
- NordPass 密碼管理器
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.