HackerNews 编译，转载请注明出处：

一种新型 macOS 恶意软件链近期被发现，该恶意软件通过分阶段脚本、凭据窃取诱饵程序及持久化 Go 语言后门，实现绕过用户防护机制、伪装恶意行为并长期控制受感染系统的攻击目标。

根据 Jamf 威胁实验室（Jamf Threat Labs）发布的最新安全公告，该攻击活动包含一个第二阶段 shell 脚本，其核心功能为重构下载路径，并根据目标系统的芯片类型（arm64 架构或 Intel 芯片）获取对应负载。

网络安全研究人员指出，该脚本会先下载包含下一阶段加载器的压缩包，将其解压至临时目录，随后在后台启动该组件。同时，脚本通过写入 LaunchAgent（macOS 系统启动代理）实现持久化，强制加载器在用户登录时自动运行。Jamf 实验室透露，脚本执行后会启动一个伪装应用，模仿 Chrome 浏览器的权限请求弹窗，最终显示一个 Chrome 风格的密码输入窗口，以此窃取用户凭据。

该伪装程序会将窃取的密码发送至一个 Dropbox 账户。为躲避检测，恶意软件通过拼接短字符串片段构造 Dropbox 服务器地址，随后利用合法的 Dropbox 上传 API 实现数据窃取；同时，它还会查询api.ipify.org接口以获取受害者的公网 IP 地址。

...