锁定macOS的信息窃取型恶意程序MacSync Stealer，正悄然改变其投放方式。安全公司Jamf近日披露，最新观测到的MacSync Stealer已不再依赖传统的社交工程终端指令，而是改用“已完成代码签名与苹果公证”的Swift应用程序作为投放工具，成功绕过macOS的Gatekeeper安全检查。

MacSync Stealer至少自2023年起开始活动，主要目标是窃取用户的浏览器账号密码、系统信息以及加密货币钱包数据。早期版本多伪装成通讯软件或系统工具，诱骗用户将文件拖入终端，或按照提示粘贴一段经过混淆的脚本指令。这类手法虽然成功率较高，但行为特征明显，容易被杀毒软件或企业终端防护机制拦截。

然而，Jamf发现新版本的MacSync Stealer在投放策略上出现关键转变。攻击者改用Swift开发一个具备合法代码签名并通过苹果软件公证机制（Notarization）的Mac应用程序作为投放载体。该程序被封装在磁盘映像文件中，外观与普通合法应用无异，用户只需按照常规安装流程双击运行，即可通过macOS的Gatekeeper安全机制，全程无需任何终端操作。

该应用程序本身并不直接执行窃密行为，而是作为投放工具。它会先检测网络连接与运行环境，确认条件满足后，再从远程服务器下载真正的恶意脚本并执行，完成后自动清除临时文件，降低被追踪的可能性。

值得注意的是，Gatekeeper的设计初衷是阻止来自不明来源或未经签名、公证的软件。此次事件并非利用系统漏洞，而是滥用苹果的信任机制。只要攻击者获取合法开发者证书，并在未被发现前通过公证流程，就能让恶意程序在外形上与普通合法应用完全一致。

在收到Jamf通报后，苹果已撤销该开发者证书。此后，所有使用该证书签名的程序在用户端运行时，macOS应会触发Gatekeeper安全检查，并可能被拦截或弹出警告提示。