最近，一种名叫 AppleProcessHub 的新型macOS信息窃取者引起了安全专家们的广泛关注。该恶意软件以其独特的Objective-C基础的加载器著称，能够通过滥用苹果的原生框架和AES解密的命令和控制逻辑，悄无声息地执行恶意负载。最早在2025年5月15日，由 MalwareHunterTeam 首次发现名为 libsystd.dylib 的可疑文件，这实际上是伪装成动态库的Mach-O二进制文件。

根据 Kandji 的高级macOS安全研究员 Christopher Lopez 的说法，“在macOS上，信息窃取者会收集 私密信息，例如钥匙串密码和加密货币钱包，并上传到攻击者控制的服务器。”这种 AppleProcessHub 恶意软件的设计目的是窃取以下敏感文件：

• .bash_history 和 .zsh_history
• GitHub配置文件 (gitconfig)
• SSH密钥及其配置
• /etc/hosts 和 .ssh 文件夹
• macOS钥匙串数据库（Login.keychain-db）

这些文件通常包含 认证令牌、Shell命令、端点IP、内部主机名和私钥，对于针对个人和组织的网络威胁行为者来说，简直是个宝藏。

Lopez进一步强调，攻击者可以利用这些信息来找到IP地址、主机名、域名或内部资源的路径，而这可能会将威胁从个人的暴露演变为对他们组织的渗透。虽然这个文件以 .dylib 扩展名伪装，但它并不是动态库，而是为x86_64编译的Objective-C Mach-O二进制文件。该程序在 _start() 函数中开始执行，并将控制权委派给 Task ccsys，最终使用苹果的 Grand Central Dispatch 把恶意负载下载排队。

窃取器从以下地址获取第二阶段负载：e87K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2S2M7s2m8D9k6i4m8J5L8$3y4W2M7%4y4Z5N6h3u0Q4y4f1u0Q4x3X3g2Q4y4f1c8U0L8$3#2Q4x3V1k6$3x3g2)9J5c8Y4u0W2M7$3!0#2M7X3y4W2。这个位置在通过AES-128 ECB模式解密嵌入的Base64编码字符串后显露出来，使用静态密钥 CMKD378491212qwe 进行解密。Lopez指出：“这些Base64字符串会被传递给 Task aesd:，然后再传递给方法 des12Decry:，使用AES密钥解码这些字符串的过程几乎没有难度。”

如果命令和控制服务器返回有效负载，二进制文件就会设置一个 NSTask，执行解密后的Shell命令——本质上给予了攻击者在设备上远程执行脚本的能力。已知负载是名为 fSidEOWW.sh 的脚本，它收集所有目标数据，并经过压缩后上传回攻击者的基础设施。Lopez强调：“这个Mach-O可以处理任何在命令和控制服务器上托管的脚本的执行。”

该恶意软件利用Grand Central Dispatch和间接的Objective-C调用（如 Task request），使静态分析变得更加困难，尤其是许多方法引用对标准反汇编工具（例如Binary Ninja）是隐藏的。当首次报告时，libsystd.dylib二进制文件在VirusTotal上的检测仅有两个，进一步强调了其规避能力。尽管在Kandji的分析中，C2域 appleprocesshub[.]com 离线，但加载器的模块化结构表明它可以很容易地切换到其他负载或服务器。

AppleProcessHub 显示了macOS恶意软件在复杂性上的演进，利用原生API、干净的Objective-C和AES加密基础设施来避免检测。它特别针对开发者环境，这让它对初创公司、工程师和科技公司构成了特别危险。Lopez总结道：“虽然在本次分析开始时，命令和控制服务器是离线状态，但该恶意软件仍然可以执行其他脚本。”

在这个信息化高度发展的时代，技术的进步让我们享受到了便利，但与此同时，恶意软件的威胁也愈发严峻。为了保护自身和企业的安全，用户应当：

1. 定期更新操作系统和软件，以修补漏洞。
2. 使用强密码，并定期更换。
3. 启用双因素认证，以增加安全性。
4. 定期备份重要数据，确保数据安全。
5. 对不明链接和下载保持警惕，避免感染恶意软件。

正如我们在这个故事中看到的，保护个人和组织数据的安全不仅仅是技术问题，更是一种责任和意识。在这个数字化的世界里，我们每个人都应该成为自己安全的第一道防线。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！