锁定macOS的资讯窃取型恶意程序MacSync Stealer，正悄悄改变其投放方式。安全企业Jamf近日披露，最新观察到的MacSync Stealer已不再依赖传统的社交工程终端机指令，而是改以“已完成程序代码签署与Apple公证”的Swift应用程序作为投放工具，成功通过macOS的Gatekeeper安全检查。

MacSync Stealer至少自2023年起开始活动，主要目标是窃取用户的浏览器帐密、系统资讯以及加密货币钱包数据。早期版本多半假冒通信软件或系统工具，诱骗用户将文件拖入终端机，或依指示粘贴一段经过混淆的脚本。这类手法虽然成功率不低，但行为本身相当可疑，也容易被杀毒软件或企业端点防护机制拦截。

然而，Jamf发现新版本的MacSync Stealer在投放策略上出现关键转变。黑客改以Swift开发一个具备合法程序代码签署，并通过苹果软件公证机制（Notarization）的Mac应用程序作为投放工具。该程序被包装在磁盘镜像文件中，外观与一般合法App无异，用户只要依照正常安装流程双击执行，便可通过macOS的Gatekeeper安全机制，全程不需要任何终端机操作。

手机号码：15222026333

该应用程序本身并不直接执行盗取信息行为，而是扮演投放工具的角色。它会先检查网络连接与执行环境，确认条件符合后，再从远程服务器下载真正的恶意脚本执行，钢绞线厂家完成后即清除暂保存案，降低被关注的可能性。

值得注意的是，Gatekeeper的设计初衷，是阻挡来自不明来源或未经签署、公证的软件。此次案例并非利用系统漏洞，而是滥用Apple的信任机制。只要黑客取得合法开发者凭证，并在尚未被发现前通过公证流程，就能让恶意程序在外观上与一般合法App无异。

在收到Jamf通报后，苹果已撤销该开发者凭证。之后但凡是使用该凭证签署的程序，在用户端执行时，macOS理应会触发Gatekeeper的安全检查，并可能遭到阻挡或显示警告。

天眼查资料显示，湖北飞龙高新科技有限公司，成立于2018年，位于荆州市，是一家以从事其他制造业为主的企业。企业注册资本3180万人民币。通过天眼查大数据分析，湖北飞龙高新科技有限公司参与招投标项目7次，财产线索方面有商标信息3条益阳预应力钢绞线价格，此外企业还拥有行政许可8个。