近日安全社区分享了一条重要预警：活跃在macOS平台的MacSync Stealer恶意软件已经完成了一次相当隐蔽的技术升级。

从前期那些低阶的"拖拽到终端"、"ClickFix"诱导手法，这次进化到了正儿八经的代码签名+苹果公证（notarized）Swift应用程序。看起来就像个正规软件，因为它在苹果的防护框架下获得了更高的"可信度"——这才是最危险的地方。

更棘手的是传播方式也变聪明了。恶意软件化身为zk-call-messenger-installer-3.9.2-lts.dmg文件在流传，伪装成即时通讯工具吸引你下载。而且新版本特别狡猾——根本不需要用户去终端里敲命令，所有脏活都由内置的Swift辅助程序搞定，直接从远程服务器拉取脚本执行，完成数据窃取。

安全研究人员指出，该样本的开发者团队ID为GNJLS3UYZ4，相关哈希目前还没被苹果吊销。这意味着在默认的macOS安全机制下，它能轻松绕过大多数用户的警惕。样本还特别会障眼法——DMG文件体积出奇地大，里面塞满了LibreOffice相关的PDF文件作掩护。

已有用户因此丢失资产。macOS用户们还是别掉以轻心，下载应用的时候多想一秒。