PamStealer 是 Jamf Threat Labs 於 2026 年 7 月 2 日揭露的 macOS 兩階段竊密軟體,它會先透過 Apple 的 Pluggable Authentication Modules(PAM)驗證受害者輸入的密碼是否有效,過濾掉錯誤輸入後再進行資料竊取。 此惡意軟體透過假冒 Maccy 剪貼簿管理器的 typosquatting 網站(maccyapp[.]com)散播,使用者在虛假網站下載的 DMG 檔中,會有一個需在「編寫指令碼」中手動執行的 AppleScript 檔案,其惡意程式碼隱藏在大量空白行之後。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is PamStealer — the new macOS infostealer that validates stolen passwords through Apple's PA. Article summary: Here is the full fact-checked breakdown based on the Jamf Threat Labs report (July 2, 2026) and corroborating sources.. Topic tags: general, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative
macOS 用戶當心了!一種名為 PamStealer 的全新惡意軟體正在網路流竄,它的手法相當狡猾——不會照單全收受害者輸入的任何密碼,而是會先利用 Apple 自己的可插拔認證模組(PAM)進行驗證,確認密碼正確無誤後,才會將它偷走。這也意味著攻擊者只會取得「有效」的登入憑證,而非使用者誤打誤撞的錯誤輸入。PamStealer 由資安公司 Jamf Threat Labs 在 2026 年 7 月 2 日首次揭露,堪稱 macOS 帳密竊取手法的一次「進化」。
這款惡意軟體是從一個名為 maccyapp[.]com 的假冒網站散播,這個網站刻意模仿正版 Maccy 剪貼簿管理工具(Maccy)的官方頁面。真正的 Maccy 僅能從官方網域 maccy.app、Homebrew 套件管理工具或其 GitHub 官方儲存庫取得。Maccy 的官方網站也特別警告使用者,網路上存在這類山寨頁面
。
當受害者瀏覽這個偽造的網站時,會下載到一個磁碟映像檔(.dmg),裡面包含一個名為 Maccy.scpt 的已編譯 AppleScript 檔案。需要特別注意的是,正版的 Maccy 從未以 DMG 格式發佈,其安裝檔向來是
Maccy.app.zip。
當使用者雙擊這個 .scpt 檔案時,macOS 系統會自動使用「編寫指令碼」(Script Editor)應用程式將它開啟。檔案可見的部分會顯示品牌化的說明文字,指示使用者按下 ⌘+R 來「開始使用」(get started),但實際的惡意程式碼則是被隱藏在檔案後方大量的空白行之後。這段文字還使用了希臘文與西里爾文的同形異字(homoglyphs)來拼寫「Maccy」這個單字,藉此繞過以文字特徵為基礎的掃描偵測機制
。
這個以 Rust 語言開發的第二階段 Mach-O 竊密軟體(infostealer),會收集範圍廣泛的敏感資訊:
pam_start、pam_authenticate、pam_end 等系統呼叫),過程中完全不會有可見的終端機活動ethereum-rpc.publicnode[.]com所有被盜取的資料都會以 ChaCha20-Poly1305 演算法加密,接著透過 HTTPS 傳送至 C2 伺服器(目前已觀察到的網域為 avenger-sync[.]live 和 avengerflow[.]com),並包裝成一個 MacOSapp1{"data":"..."} 的 JSON 格式封包。
在啟動惡意載荷之前,這個載入程式(dropper)會使用 codesign -fs - --deep。此外,惡意軟體在執行前還會檢查系統上是否存在除錯工具,以及系統完整性保護(SIP)的狀態
。
第二階段的惡意載荷會被放置在一個名為 Finder.app 的套件中,其套件識別碼為 com.apple.finder.monitor,並會從 /System/Library/CoreServices/ 目錄中複製真正的 Finder 圖示(Finder.icns)來使用。隨後,它會啟動
pbpaste 來竊取剪貼簿資料。因此,你在「活動監視器」中可能會看到一個第二個 Finder 程序在執行,但它並未顯示任何視窗──這是一個非常可疑的異常現象。
PamStealer 會透過登入項目(Login Items,而非 LaunchAgents/LaunchDaemons)建立持續化機制,同時使用現代的 SMAppService API 與舊式的 LSSharedFileList API。其惡意套件會以 com.apple.finder.monitor 和 com.apple.security.daemon(偽裝成軟體更新)的名稱存在。由於系統設定中的「登入項目」面板不會顯示完整的路徑,因此這些惡意項目看起來就像是合法的系統條目
。
curl/osascript 下載器相比,能產生較少的程序創建痕跡maccy.app 下載 Maccy,或透過 Homebrew、官方 GitHub 儲存庫安裝。這個專案是開放原始碼(MIT 授權),由開發者 Alexey Rodionov 維護(團隊識別碼:MN3X4648SC).scpt 檔案,然後按下執行按鈕。 沒有任何合法的 macOS 應用程式會要求你這樣做com.apple.finder.monitor),且確定不是你主動加入的Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
PamStealer 是 Jamf Threat Labs 於 2026 年 7 月 2 日揭露的 macOS 兩階段竊密軟體,它會先透過 Apple 的 Pluggable Authentication Modules(PAM)驗證受害者輸入的密碼是否有效,過濾掉錯誤輸入後再進行資料竊取。
PamStealer 是 Jamf Threat Labs 於 2026 年 7 月 2 日揭露的 macOS 兩階段竊密軟體,它會先透過 Apple 的 Pluggable Authentication Modules(PAM)驗證受害者輸入的密碼是否有效,過濾掉錯誤輸入後再進行資料竊取。 此惡意軟體透過假冒 Maccy 剪貼簿管理器的 typosquatting 網站(maccyapp[.]com)散播,使用者在虛假網站下載的 DMG 檔中,會有一個需在「編寫指令碼」中手動執行的 AppleScript 檔案,其惡意程式碼隱藏在大量空白行之後。
PamStealer 的第二階段 Rust 載荷會竊取登入密碼、鑰匙圈資料、瀏覽器紀錄與 Cookie、加密貨幣錢包資訊,甚至會利用 pbpaste 監控剪貼簿內容。所有資料會以 ChaCha20 Poly1305 加密後傳送至 C2 伺服器。