PamStealer 係 Jamf Threat Labs 喺 2026 年 7 月 2 日首次公開嘅 macOS 兩階段竊密軟體,最大特點係會用 Apple 嘅 Pluggable Authentication Modules(PAM)喺本地驗證偷返嚟嘅密碼,錯嘅即時丟棄,確保攻擊者只會收到用得着嘅憑證。 感染途徑係山寨域名 maccyapp[.]com,冒充正牌 Maccy 剪貼簿管理器;正版 Maccy 只經 maccy.app、Homebrew 同官方 GitHub 發佈,從未用過 DMG 格式。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is PamStealer — the new macOS infostealer that validates stolen passwords through Apple's PA. Article summary: Here is the full fact-checked breakdown based on the Jamf Threat Labs report (July 2, 2026) and corroborating sources.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative
一般 macOS 竊密軟體只係整個假對話框叫你入密碼,入咩就偷咩;但 PamStealer 嘅手法高明得多。佢利用 Apple 嘅 Pluggable Authentication Modules(PAM)——即係 macOS 本身用嚟驗證用戶登入嗰套機制——喺你輸入密碼之後即刻喺本地 run pam_start、pam_authenticate、pam_end,核對條密碼係咪真係用得 。如果打錯字,佢會直接丟棄唔偷,保證傳返俾攻擊者嘅一定係用得着嘅真密碼。呢一招令傳統靠記錄輸入內容嘅防護方式失效,因為你根本唔會見到任何可疑嘅 shell 活動
。
PamStealer 嘅散播方式係域名騎劫(typosquatting),用一個叫 maccyapp[.]com 嘅山寨網站模仿正牌 Maccy 剪貼簿管理器。正牌 Maccy 嘅官方網址係 maccy.app,亦可以經 Homebrew 或官方 GitHub 下載 ;正版網站已經有警告用戶提防假冒頁面
。
當你誤入假網站,佢會叫你下載一個磁碟映像檔(.dmg),裡面有一個編譯好嘅 AppleScript 檔案叫做 Maccy.scpt 。留意返:正版 Maccy 從來冇用過 DMG 格式發佈,只會以
Maccy.app.zip 形式提供 。
喺 macOS 度雙擊 .scpt 檔案,系統會預設用 Script Editor 打開。個檔案嘅可見部分係一段好似好正常嘅指示,叫你按 ⌘+R「開始使用」,但真正嘅惡意碼就藏喺大量空白行之後,螢幕上根本睇唔到 。仲要提一提,佢喺「Maccy」呢個字入面混入咗希臘文同西里爾字母嘅同形字(homoglyphs),企圖避開以文字為基礎嘅掃描偵測
。
一旦執行咗 Script Editor 嗰步,第二階段嘅 Rust 寫成 Mach-O 執行檔就會開始行動,收集大量敏感資料 :
ethereum-rpc.publicnode[.]com 所有偷到嘅資料會先用 ChaCha20-Poly1305 加密,然後經 HTTPS 傳送到 C2 伺服器(已觀察到嘅域名包括 avenger-sync[.]live 同 avengerflow[.]com),外層包裝成 MacOSapp1{"data":"..."} JSON 格式 。
個 dropper 會用 codesign -fs - --deep。執行前仲會檢查有無 debugging 工具同 System Integrity Protection 先至繼續
。
第二階段 payload 被放入一個名為 Finder.app 嘅套件入面,bundle identifier 係 com.apple.finder.monitor,仲大膽到直接由 /System/Library/CoreServices/ 複製真正嘅 Finder.icns 圖示 。之後佢會不斷 spawn
pbpaste 嚟偷剪貼簿內容,所以 Activity Monitor 會見到兩個 Finder 程序,其中一個仲要不停做 clipboard read——呢個係好強烈嘅異常訊號 。
PamStealer 嘅持久化方式係透過 Login Items(唔係傳統嘅 LaunchAgents/LaunchDaemons),同時用咗現代嘅 SMAppService API 同舊嘅 LSSharedFileList API。惡意條目包括:com.apple.finder.monitor 同 com.apple.security.daemon(扮 Software Update)。由於系統設定嘅 Login Items 面板唔會顯示完整路徑,呢啲條目睇落同真正嘅系統組件一模一樣
。
喺 staging bundle 旁邊會有一個名為 .Maccy 嘅標記檔案被放下 。
PamStealer 有地理圍欄機制:如果偵測到時區、地區設定、鍵盤佈局或國家代碼係俄羅斯、白俄羅斯、哈薩克斯坦或其他 8 個 CIS 國家,就會直接中止執行,唔會偷當地人 。
maccy.app 下載 Maccy,或者經 Homebrew / 官方 GitHub 安裝。正版係開源 MIT 授權,由開發者 Alexey Rodionov 維護(Team Identifier MN3X4648SC).scpt 檔案然後按執行。冇任何正規 macOS 應用會叫你咁做 com.apple.finder.monitor Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealer 係 Jamf Threat Labs 喺 2026 年 7 月 2 日首次公開嘅 macOS 兩階段竊密軟體,最大特點係會用 Apple 嘅 Pluggable Authentication Modules(PAM)喺本地驗證偷返嚟嘅密碼,錯嘅即時丟棄,確保攻擊者只會收到用得着嘅憑證。
PamStealer 係 Jamf Threat Labs 喺 2026 年 7 月 2 日首次公開嘅 macOS 兩階段竊密軟體,最大特點係會用 Apple 嘅 Pluggable Authentication Modules(PAM)喺本地驗證偷返嚟嘅密碼,錯嘅即時丟棄,確保攻擊者只會收到用得着嘅憑證。 感染途徑係山寨域名 maccyapp[.]com,冒充正牌 Maccy 剪貼簿管理器;正版 Maccy 只經 maccy.app、Homebrew 同官方 GitHub 發佈,從未用過 DMG 格式。
惡意 AppleScript 檔案 Maccy.scpt 打開後,畫面只顯示指示你按 ⌘+R「開始」,真正嘅惡意碼就隱藏喺大量空白行之後;文字仲混入希臘文同西里爾字母同形字嚟避開偵測。