PamStealer er en totrins macOS infostealer først dokumenteret af Jamf Threat Labs den 2. Malwaren distribueres via typosquat domænet maccyapp[.]com, som efterligner den legitime clipboard manager Maccy.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is PamStealer — the new macOS infostealer that validates stolen passwords through Apple's PA. Article summary: Here is the full fact-checked breakdown based on the Jamf Threat Labs report (July 2, 2026) and corroborating sources.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative
En ny infostealer til Mac'en – PamStealer – er på spil, og den har et særligt lumsk trick. I stedet for blindt at acceptere den adgangskode, et offer skriver i en falsk dialogboks, validerer den adgangskoden mod Apples egne PAM-moduler (Pluggable Authentication Modules), før den stjæler den . Det betyder, at angriberne kun får fat i fungerende legitimationsoplysninger – ikke tastefejl eller decoys. Først dokumenteret af Jamf Threat Labs den 2. juli 2026
repræsenterer PamStealer en bekymrende udvikling inden for tyveri af adgangskoder på macOS.
Malwaren distribueres fra et typosquat-domæne – maccyapp[.]com – designet til at efterligne den legitime Maccy clipboard-manager. Den rigtige Maccy distribueres kun fra maccy.app, Homebrew eller dens officielle GitHub-repository . Den legitime side advarer udtrykkeligt brugerne om disse kopisider
.
Når et offer besøger den falske side, bliver de præsenteret for et disk-image (.dmg), der indeholder en kompileret AppleScript-fil med navnet Maccy.scpt . Den legitime Maccy har aldrig distribueret et DMG; den leveres kun som
Maccy.app.zip .
Når du dobbeltklikker på filen, åbner macOS .scpt-filer i Script Editor. Den synlige del af filen viser en brugsanvisning med instruktioner om at trykke på ⌘+R for at "komme i gang", mens den egentlige ondsindede kode er gemt langt nede efter en stor blok af tomme linjer . Teksten bruger også græske og kyrilliske homoglyffer i ordet "Maccy" for at narre tekst-baserede scannere
.
Den anden fase er en Rust-baseret Mach-O-infostealer, der indsamler en bred vifte af følsomme data :
pam_start, pam_authenticate, pam_end) uden synlig terminalaktivitet ethereum-rpc.publicnode[.]com Alle stjålne data krypteres med ChaCha20-Poly1305 og eksfiltreres over HTTPS til C2-endpoints (observerede domæner: avenger-sync[.]live og avengerflow[.]com), indpakket i en MacOSapp1{"data":"..."} JSON-envelope .
Før lanceringen af nyttelasten signerer dropperen den falske app-bundle med codesign -fs - --deep. Malwaren kontrollerer også for debugging-værktøjer og System Integrity Protection
.
Anden-fase-nyttelasten placeres i en bundle med navnet Finder.app og bundle-identifikatoren com.apple.finder.monitor og det ægte Finder.icns-ikon kopieret fra /System/Library/CoreServices/ . Derefter spawner den
pbpaste for at stjæle udklipsholder-data, så Aktivitetsvisning kan vise en ekstra Finder-proces, der udfører clipboard-læsninger – en stærk anomali .
Persistens oprettes via Login-elementer (ikke LaunchAgents/LaunchDaemons) ved hjælp af både den moderne SMAppService-API og den ældre LSSharedFileList-API, med malwaren bundlet i: com.apple.finder.monitor og com.apple.security.daemon (maskerer som Software Update) . Fordi Login-elementer-panelet i Systemindstillinger ikke viser fulde stier, fremstår malwaren som legitime systemposter
.
curl/osascript-downloadere maccy.app, via Homebrew eller det officielle GitHub-repository. Det rigtige projekt er open-source (MIT-licens) og drives af udvikler Alexey Rodionov (Team Identifier MN3X4648SC) .scpt-filer i Script Editor fra et downloadet disk-image og tryk på Kør. Ingen legitim Mac-app beder dig om at gøre dette com.apple.finder.monitor), som du ikke bevidst har tilføjet Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealer er en totrins macOS infostealer først dokumenteret af Jamf Threat Labs den 2.
PamStealer er en totrins macOS infostealer først dokumenteret af Jamf Threat Labs den 2. Malwaren distribueres via typosquat domænet maccyapp[.]com, som efterligner den legitime clipboard manager Maccy.
PamStealer stjæler login adgangskode (valideret via PAM), nøgleord fra Keychain, browser cookies, legitimationsoplysninger, udklipsholder indhold, og udfører rekognoscering af cryptocurrency wallets.