
假 Maccy 變 PamStealer:Mac 剪貼簿工具點樣俾人借名偷密碼
Jamf 指假下載站用 PAM 驗密碼,正牌 Maccy 冇中招
件事唔係 Maccy 出事
iThome 報道,Jamf Threat Labs 揭到一款叫 PamStealer 嘅 macOS 竊資軟件,攻擊者借開源剪貼簿工具 Maccy 個名開假下載站,氹人下載 DMG 同開入面嘅腳本。先講清楚:正牌 Maccy 仍然係正牌 productivity app,官方站係 maccy.app,GitHub repo 亦已加警告,提醒 maccyapp[.]com 同 maccyapp[.]net 呢類相似網域有問題。
攻擊者今次借 Maccy 個名落手,原因其實好易明:剪貼簿工具日日開住,設計、開發、內容工作者都會用;你 copy 過一次密碼、API token、錢包地址,剪貼簿就有機會留低痕跡。正常剪貼簿 app 又可能要 Accessibility 權限先做到自動貼上,用戶好易覺得「授權多少少」好平常。攻擊者食住嘅正正係呢種授權疲勞。

圖片:Maccy
假安裝流程靠人手放行
Jamf 原文講得幾清楚:樣本外表似安裝包,其實只係 DMG 入面一個編譯好嘅 AppleScript,檔名扮成 Maccy。用戶雙擊之後會入到 Script Editor,畫面上叫你撳 ⌘+R 跑起段腳本。呢一步就係成個陷阱,因為 macOS 會按你嘅操作執行腳本,入面實際做緊咩,普通人根本唔會睇到。
第一段腳本會先睇部 Mac 嘅環境,Jamf 見到樣本針對 Apple Silicon,亦有地區排除同反分析檢查。過到關之後,佢用 JavaScript for Automation 同 macOS 原生 API 拉第二段惡意碼;相比起常見偷料工具要開一堆外部工具,呢種做法嘅噪音少好多。第二段係 Rust 寫成嘅 Mach-O,會扮 Finder 或 Software Update,註冊登入項目,跟住搵瀏覽器資料、錢包資料同剪貼簿內容,再加密送走。

圖片:Jamf Threat Labs
PAM 位麻煩係驗得太似真
PAM 可以當成 macOS 底層驗身份嘅接口,正常 login、sudo、解鎖動作都會用到。PamStealer 麻煩位係佢彈一個似系統授權嘅密碼框,攞到你輸入嘅密碼之後,再交畀 PAM 本機驗證;密碼錯就再叫你入,密碼啱先繼續。換句話講,佢會先篩走錯密碼,手上留低嘅係已驗過嘅 macOS 登入密碼。
呢個點唔代表 PAM 有漏洞。Jamf 嘅意思係,惡意軟件用咗合法 API 做壞事,所以防守工具少咗一條明顯 process chain 可以捉。之後佢仲會彈假 Gatekeeper 損壞提示,令用戶以為 app 壞咗;Jamf 測到 Full Disk Access 提示有時會延遲到接近 40 分鐘先彈,等你難啲聯想到同頭先個假安裝有關。
一般用戶點防
第一步好悶但最有效:睇清楚網址。Maccy 官方站寫明 maccy.app 先係唯一官方網站,GitHub README 亦指名相似假站;要裝就由官方站去 App Store、GitHub Releases,或者用 Homebrew cask。搜尋結果入面見到贊助連結、鏡像站、下載站,尤其叫你下載 DMG 再開 Script Editor 跑腳本,直接停手。
第二步係問自己:呢個 app 點解要我打 macOS 登入密碼?剪貼簿工具要 Accessibility 權限,有時講得通;要求你喺陌生安裝流程入管理員密碼,或者叫你手動跑腳本,就完全唔同級數。公司機同 BYOD Mac 仲要睇登入項目、Full Disk Access 清單,有冇扮 Finder 或 System Settings 嘅陌生項目;呢啲位最好交畀 IT 或 EDR 做集中檢查。
如果你近排真係由非官方來源裝過 Maccy,又見過可疑密碼框,先唔好再入密碼。做法係斷網、改 macOS 密碼同主要帳戶密碼、登出重要服務、檢查 Login Items 同 Full Disk Access;公司機就即刻搵 IT。至於正牌 Maccy,用官方來源裝、Keep 到最新,唔使因為假站事件一刀切刪走。
值得留意嘅位
Mac 近年有 Gatekeeper、Notarisation、XProtect,Apple 官方亦講明呢幾層會阻截已知惡意軟件同限制執行。不過 PamStealer 值得留意,因為佢避開「下載咗 app 就等系統掃」呢種直線思維,改為叫用戶親手跑腳本、親手輸入密碼。macOS 防線再多,遇到社交工程都要靠下載習慣補位。
最實際嘅結論好簡單:productivity app 越貼近日常工作,越值得核對來源。Clipboard manager、window manager、terminal theme、AI helper 呢類細工具,好多時都係由搜尋、GitHub、朋友連結裝返來,呢條路方便,但同時好適合俾假站混入去。裝之前花十秒望清楚網址,同事或公司 IT 都少好多手尾。
參考來源
- iThome — 竊資軟體PamStealer偽裝剪貼簿工具散布,利用macOS管理者驗證程序部署惡意程式 — original report
- Jamf Threat Labs:PamStealer macOS infostealer — 主要技術來源,核對假站、PAM 驗證、Rust 第二段、Full Disk Access 提示同 IOC 大方向。
- Maccy 官方網站 — 核對正牌網站、官方假站警告同下載入口。
- GitHub:p0deje/Maccy — 核對開源 repo、安裝途徑、maccyapp.com / maccyapp.net 假站警告。
- Apple Support:Protecting against malware in macOS — 核對 macOS Gatekeeper、Notarisation、XProtect 基本防護講法。
- Apple Developer:pam_authenticate manual — 核對 pam_authenticate 係用來驗證用戶身份嘅 API。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







