PamStealer는 가짜 Maccy 클립보드 관리자 사이트(maccyapp[.]com)를 통해 유포되며, 사용자가 Script Editor에서 .scpt 파일을 실행하도록 속입니다. 2단계 Rust 기반 정보 탈취기는 애플 PAM을 이용해 입력된 비밀번호의 유효성을 로컬에서 검증한 후에만 탈취하여, 오타나 가짜 비밀번호를 걸러냅니다.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is PamStealer — the new macOS infostealer that validates stolen passwords through Apple's PA. Article summary: Here is the full fact-checked breakdown based on the Jamf Threat Labs report (July 2, 2026) and corroborating sources.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative
macOS 사용자를 노리는 새로운 정보 탈취 악성코드 PamStealer가 발견되어 보안 업계에 경고음을 울리고 있습니다. Jamf Threat Labs가 2026년 7월 2일 최초로 문서화한 이 악성코드는 기존의 정보 탈취기와는 확연히 다른, 한층 교묘한 방식을 사용합니다. 사용자가 가짜 대화상자에 입력한 비밀번호를 무조건 가져가는 대신, 애플의 자체 **PAM(Pluggable Authentication Modules, 착탈형 인증 모듈)**을 이용해 유효성을 로컬에서 먼저 검증한 후에야 실제로 탈취합니다. 덕분에 공격자는 오타나 가짜 비밀번호가 섞일 염려 없이, 실전에서 바로 사용 가능한 '진짜' 자격 증명만 손에 넣을 수 있습니다. 이는 macOS 크리덴셜 탈취 기술의 진일보한 위협으로 평가됩니다.
PamStealer는 정식 Maccy 클립보드 관리자 프로젝트를 사칭한 타이포스쿼팅(typosquatting) 도메인인 maccyapp[.]com을 통해 유포됩니다. 실제 Maccy는 오직
maccy.app 공식 사이트, Homebrew 패키지 매니저, 또는 공식 GitHub 저장소를 통해서만 배포됩니다. 정식 Maccy 사이트는 이미 사용자들에게 이러한 사칭 페이지에 대해 경고하고 있습니다
.
피해자가 가짜 사이트를 방문하면 디스크 이미지(.dmg) 파일이 다운로드되고, 그 안에는 Maccy.scpt라는 이름의 컴파일된 AppleScript 파일이 들어있습니다. 주의할 점은, 정식 Maccy는 절대 DMG 형식으로 배포된 적이 없으며, 항상
Maccy.app.zip 형태로만 제공된다는 사실입니다.
macOS에서 .scpt 파일을 더블클릭하면 기본적으로 Script Editor가 열립니다. 이 파일의 눈에 보이는 부분에는 브랜드 로고와 함께 "시작하려면 ⌘+R을 누르세요"라는 안내문이 표시되지만, 실제 악성 코드는 수백 줄의 빈 줄 아래에 숨겨져 있습니다. 게다가 코드 내의 'Maccy'라는 단어 일부를 그리스어나 키릴 문자로 된 **동형 이의어(homoglyph)**로 치환하여 텍스트 기반 스캐너의 탐지를 회피합니다
.
2단계에서 실행되는 Rust 기반 Mach-O 실행 파일은 매우 광범위한 민감 정보를 수집합니다:
pam_start, pam_authenticate, pam_end API를 호출하여 PAM을 통해 유효성을 검증합니다Security.framework를 동적으로 로드하여 키체인에 저장된 모든 비밀번호를 빼냅니다ethereum-rpc.publicnode[.]com으로 연결을 시도한 정황이 포착되었습니다수집된 모든 데이터는 ChaCha20-Poly1305 알고리즘으로 암호화되어 MacOSapp1{"data":"..."} 형식의 JSON 봉투에 담긴 후, HTTPS를 통해 C2 서버(관찰된 도메인: avenger-sync[.]live, avengerflow[.]com)로 유출됩니다.
페이로드를 실행하기 전에, 드로퍼(dropper)는 가짜 애플리케이션 번들에 대해 codesign -fs - --deep. 또한 프로그램 실행 전에 디버깅 도구와 시스템 무결성 보호(SIP) 상태를 확인하는 회피 루틴을 갖추고 있습니다
.
2단계 페이로드는 Finder.app이라는 이름의 번들 안에 위치하며, 번들 식별자는 com.apple.finder.monitor이고 아이콘은 /System/Library/CoreServices/에서 복사한 진짜 Finder.icns 파일을 사용합니다. 이 가짜 Finder가
pbpaste를 실행하기 때문에, 활동 모니터(Activity Monitor)에서 Finder 프로세스가 2개 떠 있거나, 그중 하나가 지속적으로 클립보드 읽기를 수행하는 비정상적인 현상이 강력한 감염 징후입니다.
지속성은 LaunchAgents나 LaunchDaemons가 아닌 **로그인 항목(Login Items)**을 통해 확보됩니다. 최신 SMAppService API와 레거시 LSSharedFileList API를 모두 사용하며, 악성 번들은 com.apple.finder.monitor와 (소프트웨어 업데이트로 위장한) com.apple.security.daemon 식별자로 등록됩니다. 시스템 설정의 로그인 항목 창은 전체 경로를 표시하지 않기 때문에, 사용자 눈에는 이 악성 항목들이 평범한 시스템 구성 요소로 보입니다
.
curl이나 osascript 기반 다운로더보다 프로세스 생성 아티팩트가 적은 JavaScript for Automation (JXA) 페이로드를 네이티브 ObjC API(NSURLSession)를 통해 실행합니다maccy.app 또는 Homebrew, 공식 GitHub 저장소를 통해서만 다운로드하세요. 정식 프로젝트는 개발자 Alexey Rodionov(Team Identifier MN3X4648SC)가 운영하는 오픈소스(MIT 라이선스)입니다.scpt 파일을 Script Editor에서 열어 절대 실행하지 마세요. 어떤 정식 macOS 앱도 이런 방식으로 설치를 요구하지 않습니다com.apple.finder.monitor 같은 시스템 구성 요소로 위장한 항목이 있는지 살펴보세요Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealer는 가짜 Maccy 클립보드 관리자 사이트(maccyapp[.]com)를 통해 유포되며, 사용자가 Script Editor에서 .scpt 파일을 실행하도록 속입니다.
PamStealer는 가짜 Maccy 클립보드 관리자 사이트(maccyapp[.]com)를 통해 유포되며, 사용자가 Script Editor에서 .scpt 파일을 실행하도록 속입니다. 2단계 Rust 기반 정보 탈취기는 애플 PAM을 이용해 입력된 비밀번호의 유효성을 로컬에서 검증한 후에만 탈취하여, 오타나 가짜 비밀번호를 걸러냅니다.
키체인, 브라우저 자격 증명, 쿠키, 클립보드, 암호화폐 지갑 데이터 등 방대한 정보를 ChaCha20 Poly1305로 암호화하여 C2 서버로 유출합니다.