Специалисты по кибербезопасности из Jamf зафиксировали новую волну распространения вредоносного ПО для macOS. Речь идет об инфостилере GhostClaw-программе, предназначенной для кражи данных. Ее главная особенность не в технической сложности, а в том, как эффективно она использует привычки самих разработчиков.
Вирус активно распространяется через репозитории на GitHub, пакетные менеджеры (особенно npm) и среды разработки со встроенным ИИ. Многие разработчики привыкли без раздумий копировать команды из README-файлов и сразу их запускать. Именно это доверие к привычным процессам и открывает путь для GhostClaw.
Обычно вредоносный код маскируется под легитимные проекты: это могут быть SDK, трейдинговые приложения или утилиты. Злоумышленники применяют тактику «выдержки» — репозиторий определенное время выглядит надежным и набирает доверие, после чего в него добавляют скрипты, загружающие вирус. Выявить такую подмену вовремя довольно сложно.
Почему защита macOS не работает
Может показаться, что встроенные механизмы безопасности Apple дают сбой, но на самом деле их просто обходят. Инструкции по установке часто содержат команды, которые загружают и сразу же выполняют удаленные скрипты. Для системы это выглядит как обычное действие пользователя, поэтому доступ предоставляется без подозрений. В результате злоумышленники получают данные без использования сложных эксплойтов.
Ситуацию осложняет распространение ИИ-ассистентов для программирования. Такие инструменты могут автоматически подгружать внешние компоненты или «Скилы», снижая прозрачность процесса. В итоге разработчик часто не контролирует, что именно запускается в фоновом режиме, и это доверие работает в пользу атакующих.
Архитектура безопасности macOS по-прежнему функционирует правильно, но основана на предположении, что пользователь не будет запускать непроверенный код. На практике же стремление к скорости и удобству заставляет пренебрегать этим правилом. Вся активность вируса происходит в пределах разрешений, которые пользователь предоставляет собственноручно.
Как защитить свои данные
Аналитики Jamf советуют пересмотреть базовые привычки работы с чужим кодом:
- Перед выполнением любой команды, особенно скопированной из README, стоит проверить, что именно она делает. Лучше сначала загрузить скрипт локально и просмотреть его содержимое.
- Не доверяйте только внешнему виду репозитория. Анализируйте историю изменений: внезапные правки в инструкциях или обновления после длительной паузы могут быть сигналом риска.
- Не предоставляйте приложениям полный доступ к диску или расширенные права без полной уверенности в их надежности. Неожиданные запросы разрешений-повод насторожиться.
- Ограничьте автономность ИИ-инструментов при загрузке сторонних компонентов и проверьте все интеграции перед использованием.
Автоматизация неизбежно расширяет границы доверия-и именно в этих «слепых зонах» сегодня чаще всего скрываются современные киберугрозы.