研究背景與威脅環境演變

多年來，蘋果嚴格的公證流程為Mac用戶提供了安全保障，該系統確保了應用程式的安全性。然而，Jamf Threat Labs的蘋果設備安全專家發布的一份新報告顯示，駭客正在尋找方法，試圖為他們的惡意工具取得官方認證。研究人員在追蹤一款名為 MacSync Stealer 的軟體時發現了這個漏洞，最新版本惡意軟體偽裝成名為「zk-call」的聊天應用程式的無害安裝程式。這次攻擊的隱藏之處在於，該程式經過代碼簽署和公證，這意味著駭客使用了偽造的開發者團隊 ID GNJLS3UYZ4使 Mac 誤為該軟體是合法的。這標誌著 macOS 威脅景觀的重大轉變，攻擊者不再僅僅依賴於繞過安全警告，而是直接滲透進供應鏈信任體系。

惡意軟體偽裝術與靜默植入機制

根據 Jamf 在 Hackread.com 上分享的部落格文章，該文件甚至被「膨脹」了大量無用的 PDF 文件，使其看起來像一個功能強大的專業應用程式。這種「檔案膨脹」策略旨在誤導沙盒檢測工具與人工審查，透過增加體積來偽裝成結構複雜的合法軟體。進一步調查顯示，一旦開啟安裝程式（具體來說是名為 <installer_name> 的檔案zk-call-messenger-installer-3.9.2-lts.dmg），一個隱藏腳本就會在背景執行。不過，它不會立即造成問題。研究人員指出：這種傳播方式的轉變反映了一種更廣泛的趨勢，即惡意軟體更像是「潛伏代理」，以逃避檢測。這種延時觸發機制有效避開了即時監控工具的攔截，增加了溯源與清除的難度。

關鍵敏感資料竊取路徑分析

駭客的最終目標是直接侵犯您的隱私，因為軟體會專門尋找.macOS 檔案login.keychain-db，這是 Mac 上儲存所有密碼的主檔案。該資料庫包含用戶的網路服務憑據、銀行帳戶資訊及各類加密金鑰，是 macOS 安全防禦的核心。為了進入該文件，它可能會彈出一個虛假窗口，要求您輸入系統密碼。因此，如果您在安裝新應用程式後立即看到一個隨機的密碼請求，這絕對是一個危險信號。這種結合技術滲透與社交工程的混合攻擊，利用了用戶對於官方公證軟體的過度信任。

供應鏈信任崩潰與防禦失效評估

此次事件暴露出 Apple 公證流程（Notarization）並非萬無一失。儘管公證系統會掃描已知的惡意組件，但對於全新開發、未曾出現過的惡意邏輯或隱藏腳本，掃描儀可能無法即時識別。駭客利用偽造或盜用的開發者團隊 ID 成功換取官方公證標籤，使其在 macOS 門禁（Gatekeeper）系統中能長驅直入。雖然蘋果隨後撤銷了這些攻擊者使用的數位證書，但該事件表明，經過公證的應用程式並不總是安全的。

針對企業與個人的安全防禦建議

面對具備合法數位簽章的威脅，防禦策略必須從「信任簽章」轉向「零信任行為監測」。用戶在安裝任何軟體後，若遇到要求輸入系統密碼的非預期彈出視窗，應立即終止進程。企業資安部門應加強對端點行為的監控，特別是針對存取鑰匙圈資料庫（Keychain）的異常活動。此外，定期檢視應用程式的開發者資訊與來源聲譽，並結合威脅情報庫對可疑安裝包進行體積與內容比例的異常檢測，是當前抵禦此類「公證惡意軟體」的必要手段。