據(jù)BleepingComputer消息，朝鮮黑客正使用 Flutter 創(chuàng)建的木馬記事本應(yīng)用程序和掃雷游戲來(lái)攻擊蘋(píng)果 macOS 系統(tǒng)，這些應(yīng)用程序具有合法的蘋(píng)果開(kāi)發(fā)人員 ID 簽名和公證。

這些暫時(shí)經(jīng)過(guò)了蘋(píng)果安全檢查的應(yīng)用涉及竊取加密貨幣，與朝鮮黑客長(zhǎng)期在金融盜竊方面的興趣一致。根據(jù)發(fā)現(xiàn)該活動(dòng)的 Jamf Threat Labs 的說(shuō)法，該活動(dòng)看起來(lái)更像是一場(chǎng)繞過(guò) macOS 安全的實(shí)驗(yàn)，而不是一場(chǎng)成熟且高度針對(duì)性的操作。

從 2024 年 11 月開(kāi)始，Jamf 在 VirusTotal 上發(fā)現(xiàn)了多個(gè)應(yīng)用程序，這些應(yīng)用程序?qū)λ?AV 掃描似乎完全無(wú)害，但展示了“第一階段”功能，連接到與朝鮮行為者相關(guān)的服務(wù)器。

這些應(yīng)用程序均使用谷歌的 Flutter 框架為 macOS 構(gòu)建，該框架使開(kāi)發(fā)人員能夠使用以 Dart 編程語(yǔ)言編寫(xiě)的單個(gè)代碼庫(kù)為不同的操作系統(tǒng)創(chuàng)建本地編譯的應(yīng)用程序。

Jamf研究人員表示，攻擊者在基于 Flutter 的應(yīng)用程序中嵌入惡意軟件并非聞所未聞，但卻是第一次看到攻擊者使用它來(lái)攻擊 macOS 設(shè)備。

由于嵌入在動(dòng)態(tài)庫(kù) （dylib） 中，該庫(kù)由動(dòng)態(tài)庫(kù) （dylib） 在運(yùn)行時(shí)加載，使用這種方法不僅為惡意軟件開(kāi)發(fā)者提供了更多功能，而且還使惡意代碼更難檢測(cè)。

Flutter 應(yīng)用程序布局

在進(jìn)一步分析其中一款名為 New Updates in Crypto Exchange （2024-08-28）的應(yīng)用程序時(shí)，Jamf 發(fā)現(xiàn) dylib 中的混淆代碼支持 AppleScript 執(zhí)行，使其能夠執(zhí)行從命令和控制 （C2） 服務(wù)器發(fā)送的腳本。該應(yīng)用程序打開(kāi)了一個(gè)適用于 macOS 的掃雷游戲，其代碼可在 GitHub 上免費(fèi)獲得。

Jamf 發(fā)現(xiàn)的 6 個(gè)惡意應(yīng)用程序中有 5 個(gè)具有用合法的開(kāi)發(fā)人員 ID 簽名，并且惡意軟件已通過(guò)公證，這意味著這些應(yīng)用程序被蘋(píng)果的自動(dòng)化系統(tǒng)掃描并被認(rèn)為安全。

經(jīng)過(guò)安全簽名、帶有木馬的掃雷游戲

Jamf 還發(fā)現(xiàn)了兩款基于 Golang 和 Python 變體的應(yīng)用，兩者都向一個(gè)已知的與朝鮮有關(guān)聯(lián)的域 "mbupdate.linkpc[.]net "發(fā)出網(wǎng)絡(luò)請(qǐng)求，并具有腳本執(zhí)行功能。

目前蘋(píng)果已經(jīng)撤銷(xiāo)了 Jamf 發(fā)現(xiàn)的應(yīng)用程序簽名，因此這些應(yīng)用如果加載到最新的 macOS 系統(tǒng)上將無(wú)法繞過(guò) Gatekeeper 防御。

然而，目前尚不清楚這些應(yīng)用程序是否曾經(jīng)用于實(shí)際操作，或者僅用于“在野”測(cè)試中，以評(píng)估繞過(guò)安全軟件的技術(shù)。