黑客使用 macOS 扩展文件属性隐藏恶意代码

新加坡网络安全公司Group-IB发现，名为RustyAttr的新恶意软件利用macOS文件的扩展属性来隐藏其恶意行为。扩展属性是与文件和目录关联的额外元数据，可以通过xattr命令提取。这些属性通常用于存储超出标准属性（如文件大小、时间戳和权限）的信息。该恶意软件被认为是与朝鲜有关的Lazarus Group所为，该组织以其基础设施和战术重叠而闻名。RustyAttr通过滥用文件的扩展属性来加载和执行恶意脚本。

Group-IB发现的恶意应用程序使用Tauri框架构建，这是一个跨平台的桌面应用程序框架，并且使用泄露的证书签名，该证书后来已被苹果撤销。这些应用程序包含一个配置为获取和运行shell脚本的扩展属性。执行shell脚本还会触发一个诱饵，作为分散注意力的机制，要么显示错误消息“此应用程序不支持此版本”，要么显示与游戏项目开发和资金相关的看似无害的PDF文档。

当应用程序执行时，Tauri应用程序尝试使用WebView渲染HTML网页。这些网页被设计为加载恶意JavaScript，然后通过Rust后端获取扩展属性的内容并执行它。如果没有扩展属性，最终只显示假网页。幸运的是，macOS系统为发现的样本提供了一定程度的保护。要触发攻击，用户必须禁用Gatekeeper，通过覆盖恶意软件保护。

RustyAttr恶意软件的出现提醒我们，网络安全是一个持续的战斗，需要不断的警惕和创新的防御措施。对于macOS用户来说，保持警惕，不随意下载不明来源的软件，以及及时更新系统和应用程序，是防止此类攻击的关键。