用户资产已被窃取，因为新的 MacSync 变种绕过了 macOS 安全机制。

Jamf Threat Labs 在审查其内部 YARA 规则的检测结果时声称，它发现了一个经过签名和公证的窃取程序，该程序没有遵循过去常见的执行链。. 

根据 23pds ，这种窃取程序是 MacSync 变种程序的新变种，该变种程序以绕过 macOS 安全机制而闻名。 

Slowmist 声称用户信息已被窃取 

Slowmist 的首席信息安全官 23pds 在一篇 X 帖子中声称，MacSync 出现了一种新的变种，可以绕过 macOS 的 Gatekeeper 安全系统，并且已经劫持了许多用户的信息。. 

据 23pds 称，为了逃避检测，该变种病毒采用了文件膨胀、网络连接验证和执行后自毁脚本等技术。据称，它可以窃取敏感数据，例如 iCloud 钥匙串、浏览器密码和加密钱包。. 

该警告附在 Jamf Threat Labs 的一篇博客文章中，文章称这并非该实验室首次与 MacSync 接触。. 

据报道，这款针对 macOS 的信息窃取恶意软件最早于 2025 年 4 月以“Mac.C”的名称出现，由名为“Mentalpositive”的威胁行为者开发。不久之后，它更名为 MacSync，并迅速在网络犯罪分子中 trac起来。.

为了保护自己免受其害，请仅从 Mac App Store 或受信任的开发者网站下载应用程序，保持 macOS 和应用程序的更新，使用能够检测 macOS 威胁的信誉良好的防病毒/终端安全工具，并对意外的 .dmg 文件或安装程序保持警惕，尤其是那些声称与加密或消息传递工具相关的文件或安装程序。.

是否存在新的MacSync恶意软件？ 

据报道，此次发现的样本与以往活跃度日益提升的 MacSync Stealer 恶意软件变种高度相似，但其设计有所改进。它不同于早期主要依赖拖拽到终端或 ClickFix 等技术的 MacSync Stealer 变种，而是采用了一种更具欺骗性、无需用户干预的攻击方式。. 

据报道，该样本 以代码签名和公证的 Swift 应用程序的形式 提供，位于名为 zk-call-messenger-installer-3.9.2-lts.dmg 的磁盘映像中，可通过 https://zkcall.net/download 分发。

这样就无需任何直接的终端交互。相反，投放器会从远程服务器检索一个编码后的脚本，并通过一个用 Swift 编写的辅助可执行文件来执行它。

Jamf Threat Labs 还观察到 Odyssey 信息窃取程序在最近的变种中采用了类似的传播方式。他们惊讶地发现，即使可执行文件已签名且无需右键单击打开，新样本中仍然保留了熟悉的右键单击打开指令。.

他们声称：“在检查了通用版本的 Mach-O 二进制文件后，我们确认它既经过代码签名又经过公证。签名与开发者团队 ID GNJLS3UYZ4 相关联。”. 

他们确保将代码目录哈希值与苹果公司的撤销列表进行比对，分析时表示，没有一个代码被撤销。.

另一个值得注意的观察结果是磁盘映像的大小异常大（25.5MB），他们表示，这似乎是由于应用程序包中嵌入了诱饵文件而导致的。. 

分析时发现，上传到 VirusTotal 的部分样本仅被一家杀毒引擎检测到，而另一些样本则被多达 13 家杀毒引擎标记。在确认开发者团队 ID 被用于分发恶意载荷后，Jamf Threat Labs 已将此事报告给苹果公司。此后，相关证书已被吊销。.