PamStealer 是 Jamf Threat Labs 于 2026 年 7 月 2 日首次披露的双阶段 macOS 信息窃取器,利用苹果的 PAM(可插拔认证模块)本地验证窃取的密码,确保其真实有效后才会外传。 恶意软件通过仿冒域名 maccyapp[.]com 分发,伪装成知名开源剪贴板管理器 Maccy,诱导用户下载并运行恶意的 AppleScript 文件(.scpt)。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is PamStealer — the new macOS infostealer that validates stolen passwords through Apple's PA. Article summary: Here is the full fact-checked breakdown based on the Jamf Threat Labs report (July 2, 2026) and corroborating sources.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative
macOS 用户正面临一种新型信息窃取恶意软件(Infostealer)的威胁。安全公司 Jamf Threat Labs 于 2026 年 7 月 2 日披露了一款名为 PamStealer 的恶意程序,其最显著的特点是,它并非盲目收集用户输入的密码,而是会通过苹果系统内置的可插拔认证模块 (Pluggable Authentication Modules,PAM) 对密码进行本地验证,确认有效后才进行窃取 。这意味着攻击者得到的是能直接使用的真实密码,而非用户误输的“垃圾信息”。PamStealer 的出现,标志着 macOS 平台上的凭据窃取手段再次升级。
PamStealer 的分发渠道是一个精心设计的伪造网站——maccyapp[.]com。该网站模仿了 macOS 上一款流行的开源剪贴板管理器 Maccy。Maccy 的官方分发渠道只有其域名 maccy.app、Homebrew 包管理器或官方 GitHub 仓库 。正版 Maccy 的官网已明确发出警告,提醒用户留意这些高仿冒牌网站
。
当用户访问这个假冒网站时,会被诱导下载一个磁盘映像文件(.dmg),其中包含一个名为 Maccy.scpt 的编译版 AppleScript 文件 。值得注意的是,正版 Maccy 从未以 DMG 文件形式分发,其唯一的安装包格式为
Maccy.app.zip 。
在 macOS 中,双击 .scpt 文件默认会通过 脚本编辑器 (Script Editor) 打开。PamStealer 利用这一点,在文件的可视区域显示经过品牌化包装的操作指南,告诉用户按下 ⌘+R 组合键“开始使用”。然而,真正的恶意代码被隐藏在一大段空白行之后 。该提示文字还使用了希腊语和西里尔字母的同形异码字(homoglyphs)来拼写“Maccy”一词,以此规避基于文本的扫描引擎
。
一旦用户上当并运行了脚本,它便会下载并执行第二阶段的有效载荷——一个用 Rust 语言编写的 Mach-O 二进制文件。这个信息窃取器功能强大,会收集以下敏感信息 :
pam_start、pam_authenticate、pam_end)进行本地验证,整个过程无需打开可见的“终端”窗口 ethereum-rpc.publicnode[.]com 所有窃取的数据会使用 ChaCha20-Poly1305 算法进行加密,并通过 HTTPS 协议传输到命令与控制(C2)服务器(已观测到的域名为 avenger-sync[.]live 和 avengerflow[.]com),数据被封装在一个 MacOSapp1{"data":"..."} 的 JSON 结构中 。
在启动有效载荷前,初始下载器会使用 codesign -fs - --deep。恶意软件还会在运行前检查调试工具和系统完整性保护(SIP)的状态
。
第二阶段的恶意载荷被放置在一个名为 Finder.app 的应用程序包中,其包标识符为 com.apple.finder.monitor,并且从 /System/Library/CoreServices/ 目录下复制了真正的 Finder.icns 图标 。随后它会调用
pbpaste 来窃取剪贴板数据。因此,在“活动监视器”中可能会出现两个 Finder 进程,其中一个负责执行剪贴板读取操作,这是一个非常明显的异常信号 。
PamStealer 通过 登录项 (Login Items) 实现持久化(而非使用 LaunchAgents/LaunchDaemons),它同时使用了现代的 SMAppService 和传统的 LSSharedFileList API。恶意软件被伪装成系统组件,其内部名为:com.apple.finder.monitor 和 com.apple.security.daemon(伪装成软件更新)。由于系统设置中的“登录项”面板不显示完整路径,这些恶意条目看起来就像合法的系统程序
。
curl/osascript 下载器,这种做法产生的进程创建痕迹更少 maccy.app、Homebrew 或官方 GitHub 仓库下载 Maccy。该正版项目为开源项目(MIT 许可),由开发者 Alexey Rodionov(团队标识符 MN3X4648SC)维护 .scpt 文件并按下“运行”按钮。没有任何合法的 macOS 应用会要求用户这样做 com.apple.finder.monitor)且并非你主动添加的 Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealer 是 Jamf Threat Labs 于 2026 年 7 月 2 日首次披露的双阶段 macOS 信息窃取器,利用苹果的 PAM(可插拔认证模块)本地验证窃取的密码,确保其真实有效后才会外传。
PamStealer 是 Jamf Threat Labs 于 2026 年 7 月 2 日首次披露的双阶段 macOS 信息窃取器,利用苹果的 PAM(可插拔认证模块)本地验证窃取的密码,确保其真实有效后才会外传。 恶意软件通过仿冒域名 maccyapp[.]com 分发,伪装成知名开源剪贴板管理器 Maccy,诱导用户下载并运行恶意的 AppleScript 文件(.scpt)。
第二阶段 Rust 编写的载荷会窃取系统密码、钥匙串内容、浏览器凭据与 Cookie、剪贴板数据以及加密货币钱包信息,并使用 ChaCha20 Poly1305 加密后回传。