PamStealer to dwuetapowy infostealer dla macOS wykryty przez Jamf Threat Labs 2 lipca 2026 roku. Złośliwe oprogramowanie rozprzestrzenia się przez fałszywą domenę podszywającą się pod Maccy (maccyapp[.]com).

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is PamStealer — the new macOS infostealer that validates stolen passwords through Apple's PA. Article summary: Here is the full fact-checked breakdown based on the Jamf Threat Labs report (July 2, 2026) and corroborating sources.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative
Nowy infostealer dla macOS o nazwie PamStealer stanowi poważne zagrożenie – i ma wyjątkowo podstępny mechanizm działania. Zamiast ślepo akceptować każde hasło wpisane przez ofiarę w fałszywym oknie dialogowym, weryfikuje je lokalnie za pomocą własnego mechanizmu Apple – Pluggable Authentication Modules (PAM). Dzięki temu atakujący otrzymują wyłącznie działające dane logowania, a nie literówki czy przypadkowe ciągi znaków. PamStealer, po raz pierwszy udokumentowany przez Jamf Threat Labs 2 lipca 2026 roku , to niepokojąca ewolucja w kradzieży danych na macOS.
Złośliwe oprogramowanie jest dystrybuowane z domeny podszywającej się pod oryginalną – maccyapp[.]com – która naśladuje legalny projekt menedżera schowka Maccy. Prawdziwy Maccy jest dostępny wyłącznie z maccy.app, Homebrew lub jego oficjalnego repozytorium GitHub . Legalna strona wyraźnie ostrzega użytkowników przed tymi fałszywymi kopiami
.
Gdy ofiara odwiedzi fałszywą witrynę, otrzymuje obraz dysku (.dmg) zawierający skompilowany plik AppleScript o nazwie Maccy.scpt . Legalny Maccy nigdy nie był dystrybuowany jako DMG – jest dostępny tylko jako
Maccy.app.zip .
Po dwukrotnym kliknięciu macOS domyślnie otwiera pliki .scpt w Script Editor. Widoczna część pliku zawiera instrukcje marki zachęcające użytkownika do naciśnięcia ⌘+R, aby "rozpocząć", podczas gdy rzeczywisty złośliwy kod jest ukryty daleko poniżej, po dużym bloku pustych linii . Tekst zawiera także greckie i cyrylickie homoglify w słowie "Maccy", aby oszukać skanery tekstowe
.
Drugi etap ataku to infostealer napisany w Rust w formacie Mach-O, który gromadzi szeroki zakres wrażliwych danych :
pam_start, pam_authenticate, pam_end) bez widocznej aktywności w terminalu ethereum-rpc.publicnode[.]com Wszystkie skradzione dane są szyfrowane algorytmem ChaCha20-Poly1305 i eksfiltrowane przez HTTPS do punktów końcowych C2 (zaobserwowane domeny: avenger-sync[.]live i avengerflow[.]com), opakowane w kopertę JSON MacOSapp1{"data":"..."} .
Przed uruchomieniem ładunku, dropper podpisuje ad-hoc fałszywy pakiet aplikacji za pomocą codesign -fs - --deep. Złośliwe oprogramowanie sprawdza również obecność narzędzi debugowania i ochrony integralności systemu (SIP) przed kontynuowaniem
.
Drugi ładunek jest umieszczany w pakiecie o nazwie Finder.app z identyfikatorem pakietu com.apple.finder.monitor i oryginalną ikoną Finder.icns skopiowaną z /System/Library/CoreServices/ . Następnie uruchamia
pbpaste, aby kraść dane ze schowka, więc Monitor aktywności może pokazywać drugi proces Findera wykonujący odczyty schowka – to silna anomalia .
Trwałość jest ustanawiana przez Login Items (a nie LaunchAgents/LaunchDaemons) przy użyciu zarówno nowoczesnego API SMAppService, jak i starszego API LSSharedFileList, z malware umieszczonym w pakietach: com.apple.finder.monitor i com.apple.security.daemon (podszywający się pod aktualizację oprogramowania) . Ponieważ panel Login Items w Ustawieniach Systemowych nie pokazuje pełnych ścieżek, malware pojawia się jako legalne wpisy systemowe
.
curl/osascript maccy.app, lub przez Homebrew / oficjalne repozytorium GitHub. Prawdziwy projekt jest open-source (licencja MIT) i prowadzony przez dewelopera Aleksieja Rodionowa (Team Identifier MN3X4648SC) .scpt w Script Editor z pobranego obrazu dysku i nie naciskaj „Uruchom”. Żadna legalna aplikacja dla macOS nie wymaga tego od Ciebie com.apple.finder.monitor), których celowo nie dodałeś Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealer to dwuetapowy infostealer dla macOS wykryty przez Jamf Threat Labs 2 lipca 2026 roku.
PamStealer to dwuetapowy infostealer dla macOS wykryty przez Jamf Threat Labs 2 lipca 2026 roku. Złośliwe oprogramowanie rozprzestrzenia się przez fałszywą domenę podszywającą się pod Maccy (maccyapp[.]com).
PamStealer kradnie hasła logowania, dane z pęku kluczy macOS, dane logowania i pliki cookie z przeglądarek, zawartość schowka oraz informacje o portfelach kryptowalut.