新型macOS窃密木马DigitStealer伪装成DynamicLake，专门针对苹果M2/M3芯片设备

一种新型信息窃取恶意软件正通过伪装成合法的 DynamicLake UI增强工具 和生产力实用程序，甚至可能伪装成 Google Drive 桌面应用，针对 macOS 用户。

多阶段投放机制

Jamf 研究人员将其命名为 DigitStealer，该威胁异常复杂：

在运行前，一个完全在内存中执行的 bash 脚本会检查系统的国家/地区设置，若发现设备位于特定区域则终止运行。
它还会检查设备是否为虚拟机，以及是否运行在 Apple Silicon M2 或更新芯片 上（通过检测特定硬件功能）。

研究人员发现：“恶意软件避免在虚拟机、基于 Intel 的 Mac 上运行，无论有意还是无意，也不支持 M1 芯片系统——尽管 M1 同样属于 Apple Silicon 家族。相反，它针对 M2 或更高版本芯片引入的新 ARM 特性设备。”

若“判定”条件满足，脚本会获取四个独立 payload 并开始投放和运行：

1. 第一个 payload：简单的 AppleScript 信息窃取器，诱导用户输入密码。一旦用户输入，它会窃取凭证、小型用户文件（文档、笔记等），并重置 macOS TCC 数据库（记录哪些应用被允许访问敏感数据或系统功能）。
2. 第二个 payload：压缩并窃取多个主流浏览器数据、Keychain 数据库、VPN 配置、Telegram 的 tdata 文件夹（可用于劫持 Telegram 账户），以及 Ledger、Electrum、Exodus、Coinomi 等加密货币钱包文件。
3. 第三个 payload：用恶意版本替换 Ledger Wallet/Ledger Live 加密货币应用的 app.asar 文件，使其连接到攻击者控制的服务器，本质上劫持钱包，允许攻击者拦截或操纵受害者的加密货币钱包数据。
4. 第四个 payload：在目标系统上投放并加载 Launch Agent 以实现持久化，每次运行时从攻击者服务器动态获取 payload。最初，该最终 payload 是一个后门——具有完整 AppleScript 权限的 JavaScript for Automation（JXA），但攻击者可随意更改 payload。

诱骗用户运行“应用”

研究人员表示：“已发现的样本以未签名磁盘镜像 DynamicLake.dmg 的形式存在。进一步调查后，我们识别出与该活动相关的其他几个磁盘镜像。”

DynamicLake.dmg 通过 https[:]//dynamiclake[.]org 域名和网站分发，该网站模仿同名合法 macOS 工具的官方站点。

被诱骗访问此伪造网站的用户会被指示将文件（实为初始脚本）拖入 Mac 的 终端（Terminal），从而绕过 Gatekeeper 安全防护。

下载 Mac 应用时的注意事项

研究人员指出：“目前尚不清楚此特定变体的归属。但所用技术表明攻击者对 macOS 操作系统有深入了解，并持续专注于逃避检测。”

他们补充道，恶意软件作者不断滥用合法服务和分发方法，以绕过 macOS 安全控制并提高成功率。

过去几个月，攻击者创建了流行 Mac 应用的 GitHub 仓库伪造副本，并使用“拖入终端”技巧诱骗无防备用户运行恶意脚本（通常应用安装流程是拖入“应用程序”文件夹）。

最近，一名 Reddit 用户报告发现此伪造的 DynamicLake 应用以及伪造的 AirPosture，后者可能导致 DigitStealer 感染。

用户在搜索和安装新应用时应注意：

1. 仔细检查是否位于正确的网站/GitHub 仓库
2. 运行前使用 VirusTotal 扫描下载的安装程序
3. 切勿将应用拖入终端
4. 可使用专业工具验证应用/安装程序的签名