PamStealerは2026年7月2日にJamf Threat Labsが確認した2段階構成のmacOS情報窃取マルウェア。AppleのPluggable Authentication Modules(PAM)を利用し、偽のダイアログに入力されたパスワードをローカルで検証。誤入力やダミーを排除し、有効な認証情報のみを窃取する点が最大の特徴[19] 感染は正規のMaccyクリップボード管理アプリを装うタイポスクワッティングサイト「maccyapp[.]com」から。配布されるDMG内のコンパイル済みAppleScript(Maccy.scpt)を開かせ、Script Editorで⌘+Rキーを押させる手口。悪意コードは大量の空...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is PamStealer — the new macOS infostealer that validates stolen passwords through Apple's PA. Article summary: Here is the full fact-checked breakdown based on the Jamf Threat Labs report (July 2, 2026) and corroborating sources.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative
macOSユーザーを標的にした新たな情報窃取マルウェア「PamStealer(パムスティーラー)」 が確認されました。Jamf Threat Labsが2026年7月2日に初めて報告したこのマルウェアは、従来の情報窃取型とは一線を画す「パスワード検証機能」を持っています。偽のダイアログにユーザーが入力したパスワードを、AppleがOSに組み込むPluggable Authentication Modules(PAM) という認証フレームワークを使ってリアルタイムで検証。タイプミスやダミー入力を排除し、確実に動作する認証情報だけを攻撃者に送りつける、極めて巧妙な手口です。
PamStealerの入口は、正規のクリップボード管理アプリ「Maccy」を装ったタイポスクワッティングサイト(maccyapp[.]com) です。正規のMaccyはmaccy.app、Homebrew、公式GitHubリポジトリからのみ配布されており、公式サイトでも偽コピーサイトに対する注意喚起が行われています
。
偽サイトにアクセスすると、ユーザーはMaccy.scptという名前のコンパイル済みAppleScriptファイルが入ったディスクイメージ(.dmg)をダウンロードします。正規のMaccyがDMGで配布されたことは一度もなく、常にMaccy.app.zipのみです
。重要なのは、macOSで.scptファイルをダブルクリックすると、デフォルトでScript Editor(スクリプトエディタ) が起動する点です。
表示されるScript Editorの画面には、ユーザーに「⌘+R を押して始めてください」と促す、一見ブランド化された指示文だけが見えています。実際の悪意のあるコードは、画面外の大量の空行の後ろに隠されています。さらに、「Maccy」という単語にギリシャ文字やキリル文字のホモグリフ(字形が似ている別の文字) が使われており、テキストベースのスキャナーによる検出を回避しています
。
第2段階としてダウンロード・実行されるRust製のMach-Oバイナリは、以下の広範なデータを収集します。
ethereum-rpc.publicnode[.]comへの接続が確認されています盗まれたデータはすべてChaCha20-Poly1305で暗号化され、MacOSapp1{"data":"..."}というJSONエンベロープに包まれて、C2サーバー(確認済みドメイン:avenger-sync[.]live、avengerflow[.]com)にHTTPSで送信されます。
ペイロード実行前に、ドロッパーは偽のアプリケーションバンドルをcodesign -fs - --deep。実行前にデバッグツールやSystem Integrity Protection(SIP)の有無もチェックします
。
第2段階のペイロードはFinder.appというバンドル名、bundle identifier com.apple.finder.monitor、そして/System/Library/CoreServices/からコピーした本物のFinder.icnsアイコンを使って配置されます。この偽Finderは
pbpasteを頻繁に起動してクリップボードを読み取るため、アクティビティモニタでFinderプロセスが2つ表示されるという強い異常が発生します。
持続化(Persistence)はLaunchAgentsやLaunchDaemonsではなくログイン項目(Login Items) を使って行われます。最新のSMAppService APIと従来のLSSharedFileList APIの両方が使われ、バンドルIDはcom.apple.finder.monitorとcom.apple.security.daemon(ソフトウェアアップデートを装う)です。システム設定のログイン項目ペインはフルパスを表示しないため、これらのエントリは正規のシステムコンポーネントに見えます
。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealerは2026年7月2日にJamf Threat Labsが確認した2段階構成のmacOS情報窃取マルウェア。AppleのPluggable Authentication Modules(PAM)を利用し、偽のダイアログに入力されたパスワードをローカルで検証。誤入力やダミーを排除し、有効な認証情報のみを窃取する点が最大の特徴[19]
PamStealerは2026年7月2日にJamf Threat Labsが確認した2段階構成のmacOS情報窃取マルウェア。AppleのPluggable Authentication Modules(PAM)を利用し、偽のダイアログに入力されたパスワードをローカルで検証。誤入力やダミーを排除し、有効な認証情報のみを窃取する点が最大の特徴[19] 感染は正規のMaccyクリップボード管理アプリを装うタイポスクワッティングサイト「maccyapp[.]com」から。配布されるDMG内のコンパイル済みAppleScript(Maccy.scpt)を開かせ、Script Editorで⌘+Rキーを押させる手口。悪意コードは大量の空行の後に隠され、ギリシャ文字・キリル文字のホモグリフでテキストスキャナーを回避[19][18]
第2段階のRust製ペイロードは、ログインパスワード、キーチェーン全エントリ、ブラウザのクレデンシャル・Cookie・ウォレット拡張、クリップボード履歴、最大40分遅延で要求するFull Disk Access経由の保護ファイルまで収集。データはChaCha20 Poly1305で暗号化されHTTPS経由でC2サーバー(avenger sync[.]live等)に送信[19][1]