安全公司SentinelOne的研究人员发现了一款名为Reaper的窃密程序，它冒充苹果、微软和Google，针对macOS设备用户发起攻击，窃取浏览器数据、扩展程序、数字钱包及机密文件。

近年来，针对macOS的窃密程序数量持续上升，例如SHub Stealer曾利用ClickFix社交工程手段，通过假冒的App安装包广泛传播。SentinelOne最新发现的Reaper是SHub Stealer的变种，延续了以微信和在线协作白板Miro安装包为诱饵的攻击手法，但技术更为复杂，窃取目标也更广泛。值得注意的是，Reaper的感染链在每个阶段都伪装成不同科技巨头的官方服务：首先，其恶意程序托管在一个拼写错误的假微软域名（mlcrosoft[.]co[.]com）上，伪装成苹果安全更新；随后通过伪造的Google软件更新目录实现持久化攻击。

研究人员分析发现，在用户访问假冒的微信和Miro网页时，该假冒微软网站便开始收集遥测数据。网页中的JavaScript脚本会采集用户的系统与浏览器信息，包括IP地址、地理位置、WebGL指纹，以及是否使用虚拟机或VPN等。它还会检测浏览器安装的扩展程序，如1Password、Bitwarden、LastPass，以及加密货币钱包如MetaMask和Phantom。这些信息最终通过Telegram机器人发送回攻击者服务器。

在执行阶段，Reaper不同于SHub使用ClickFix手法诱导用户将脚本粘贴到终端命令行中，而是完全绕过终端，从而规避了macOS Sonoma 26.4的安全防护机制。它利用applesecript://xn--macos-wo0i9649a协议直接调用Script Editor，启动时已预载恶意AppleScript代码，界面伪装成苹果系统更新提示。当用户点击“运行”按钮后，程序会下载第二阶段恶意载荷，并在后台启动远程AppleScript，窃取账户凭证与敏感数据。攻击者借助macOS内置工具，使得传统杀毒软件难以识别。研究人员甚至发现，该程序能清除文件属性以绕过macOS的Gatekeeper保护机制。

与以往一次性窃密行为不同，Reaper在执行阶段会植入后门，并创建一个伪装成Google软件更新的目录，以及一个名为com.google.keystone.agent.plist的代理程序。该程序每60秒向命令与控制（C2）服务器上报一次状态并接收新指令，维持长期渗透。该AppleScript还会篡改加密货币钱包以盗取资产。

综上所述，除了SHub所针对的密码、macOS钥匙串、开发者配置文件、iCloud账户和Telegram会话数据外，Reaper几乎无所不窃。它不仅收集主流浏览器如Chrome、Firefox、Brave、Edge、Opera、Vivaldi、Arc和Orion及其扩展程序，还针对Exodus、Atomic Wallet、Ledger Live、Trezor Suite等加密货币钱包进行攻击。此外，其Filegrabber模块与Atomic macOS Stealer（AMOS）类似，会扫描用户“桌面”和“文档”文件夹中的重要文件。

研究人员建议用户注意Script Editor是否存在异常的外部连接行为，并检查系统中是否出现以可信厂商名义安装、但实际通过LaunchAgents创建的可疑文件。