近日安全社區分享了一條重要預警：活躍在macOS平台的MacSync Stealer惡意軟件已經完成了一次相當隱蔽的技術升級。

從前期那些低階的"拖拽到終端"、"ClickFix"誘導手法，這次進化到了正兒八經的代碼籤名+蘋果公證（notarized）Swift應用程序。看起來就像個正規軟件，因爲它在蘋果的防護框架下獲得了更高的"可信度"——這才是最危險的地方。

更棘手的是傳播方式也變聰明了。惡意軟件化身爲zk-call-messenger-installer-3.9.2-lts.dmg文件在流傳，僞裝成即時通訊工具吸引你下載。而且新版本特別狡猾——根本不需要用戶去終端裏敲命令，所有髒活都由內置的Swift輔助程序搞定，直接從遠程服務器拉取腳本執行，完成數據竊取。

安全研究人員指出，該樣本的開發者團隊ID爲GNJLS3UYZ4，相關哈希目前還沒被蘋果吊銷。這意味着在默認的macOS安全機制下，它能輕鬆繞過大多數用戶的警惕。樣本還特別會障眼法——DMG文件體積出奇地大，裏面塞滿了LibreOffice相關的PDF文件作掩護。

已有用戶因此丟失資產。macOS用戶們還是別掉以輕心，下載應用的時候多想一秒。