Free stuff

CrashStealer 攻击披露:针对苹果 Mac 用户,瞄准 1Password 等 14 款密码管理器 - 九游官网

2026-07-13by Brandon Hanson

网络安全公司 Jamf Threat Labs 发布了一份关于 CrashStealer 漏洞的报告,该漏洞影响了大约 80 个加密货币钱包扩展以及 14 款密码管理器。在收到 Jamf 的通知后,苹果公司已经撤销了相关恶意应用程序的签名凭证。

Jamf 的研究人员在 2026 年 5 月初于 VirusTotal 上发现了可疑样本,并在 2026 年 7 月初在其客户的 Mac 设备上看到了相应的检测结果。

经过深入分析,专家发现攻击链的初始阶段主要通过 Werkbit 进行签名并通过苹果的公证应用分发。该应用程序拥有一个与 Emil Grigorov 相关的有效开发者 ID,这使得它能够绕过 Gatekeeper 的“未识别开发者”警告。

攻击者会诱导用户手动下载并运行 Werkbit。一旦后续的投递链启动,它会诱使用户输入有效的 Mac 密码,从而加载 CrashStealer 恶意软件。

研究表明,Werkbit 启动后会从 GitHub 仓库 mgothiclove / pkeys 获取隐藏的指令文件。接着,它会根据指令从 endpoint-api-v1 [.]com 下载混淆脚本,然后获取、重新签名并启动 CrashStealer。

Jamf 还发现,同一攻击者控制的域名上存在一个名为“Command Panel”的在线登录页面。此外,研究人员还识别出多个伪装成会议或协作工具的域名,包括 Cohezo、Cordinex、Synerix、Collabox 和 Werknova。

相关的恶意载荷被封装在 CrashReporter.dmg 文件中。安全专家在解析后发现,恶意程序会在隐藏目录 /private/tmp/.CrashReporter/ 下运行。随后,它会在 ~/Library/Caches/com.apple.crashreporter/ 下安装一个持久化的副本,并请求“完全磁盘访问”权限,以及对桌面、文稿和下载文件夹以及可移动驱动器的访问权限。

该木马会弹出一个模仿 macOS 授权窗口,诱导用户输入账户密码。Jamf 指出,CrashStealer 利用苹果的合法 dscl 命令在本地验证密码,然后解锁 Mac 的登录钥匙串,并将 login.keychain-db 文件复制到隐藏的临时目录中。

根据博文介绍,该恶意软件的代码还针对 Chrome、Edge、Brave、Firefox、Opera、Vivaldi 等浏览器,收集配置文件、Cookie、已保存的登录信息以及扩展数据。同时,它还影响了大约 80 个加密货币钱包扩展和 14 款密码管理器,其中包括:

  • 1Password 密码管理器
  • Bitwarden 密码管理器
  • LastPass 密码管理器
  • Dashlane 密码管理器
  • Keeper 密码管理器
  • KeePassXC 密码管理器
  • NordPass 密码管理器
电话:+86 151 4805 4877邮箱:[email protected]微信:portal9game_490