據(jù)BleepingComputer消息，朝鮮黑客正使用 Flutter 創(chuàng)建的木馬記事本應(yīng)用程序和掃雷游戲來攻擊蘋果 macOS 系統(tǒng)，這些應(yīng)用程序具有合法的蘋果開發(fā)人員 ID 簽名和公證。

這些暫時經(jīng)過了蘋果安全檢查的應(yīng)用涉及竊取加密貨幣，與朝鮮黑客長期在金融盜竊方面的興趣一致。根據(jù)發(fā)現(xiàn)該活動的 Jamf Threat Labs 的說法，該活動看起來更像是一場繞過 macOS 安全的實(shí)驗(yàn)，而不是一場成熟且高度針對性的操作。

從 2024 年 11 月開始，Jamf 在 VirusTotal 上發(fā)現(xiàn)了多個應(yīng)用程序，這些應(yīng)用程序?qū)λ?AV 掃描似乎完全無害，但展示了“第一階段”功能，連接到與朝鮮行為者相關(guān)的服務(wù)器。

這些應(yīng)用程序均使用谷歌的 Flutter 框架為 macOS 構(gòu)建，該框架使開發(fā)人員能夠使用以 Dart 編程語言編寫的單個代碼庫為不同的操作系統(tǒng)創(chuàng)建本地編譯的應(yīng)用程序。

Jamf研究人員表示，攻擊者在基于 Flutter 的應(yīng)用程序中嵌入惡意軟件并非聞所未聞，但卻是第一次看到攻擊者使用它來攻擊 macOS 設(shè)備。

由于嵌入在動態(tài)庫 （dylib） 中，該庫由動態(tài)庫 （dylib） 在運(yùn)行時加載，使用這種方法不僅為惡意軟件開發(fā)者提供了更多功能，而且還使惡意代碼更難檢測。

Flutter 應(yīng)用程序布局

在進(jìn)一步分析其中一款名為 New Updates in Crypto Exchange （2024-08-28）的應(yīng)用程序時，Jamf 發(fā)現(xiàn) dylib 中的混淆代碼支持 AppleScript 執(zhí)行，使其能夠執(zhí)行從命令和控制 （C2） 服務(wù)器發(fā)送的腳本。該應(yīng)用程序打開了一個適用于 macOS 的掃雷游戲，其代碼可在 GitHub 上免費(fèi)獲得。

Jamf 發(fā)現(xiàn)的 6 個惡意應(yīng)用程序中有 5 個具有用合法的開發(fā)人員 ID 簽名，并且惡意軟件已通過公證，這意味著這些應(yīng)用程序被蘋果的自動化系統(tǒng)掃描并被認(rèn)為安全。

經(jīng)過安全簽名、帶有木馬的掃雷游戲

Jamf 還發(fā)現(xiàn)了兩款基于 Golang 和 Python 變體的應(yīng)用，兩者都向一個已知的與朝鮮有關(guān)聯(lián)的域 "mbupdate.linkpc[.]net "發(fā)出網(wǎng)絡(luò)請求，并具有腳本執(zhí)行功能。

目前蘋果已經(jīng)撤銷了 Jamf 發(fā)現(xiàn)的應(yīng)用程序簽名，因此這些應(yīng)用如果加載到最新的 macOS 系統(tǒng)上將無法繞過 Gatekeeper 防御。

然而，目前尚不清楚這些應(yīng)用程序是否曾經(jīng)用于實(shí)際操作，或者僅用于“在野”測試中，以評估繞過安全軟件的技術(shù)。