文章总结： 新型SHubReaper变种利用多阶段静默渗透机制攻击macOS系统，通过伪造微信/Miro安装程序诱饵，采用三层伪装架构绕过终端防护。该恶意软件会窃取系统配置、浏览器凭证、加密货币钱包等数据，并通过分片上传逃避检测。防护建议包括限制软件安装权限、监控UserLaunchAgent创建行为、部署终端监控识别异常文件抓取。 综合评分： 85 文章分类： 恶意软件,终端安全,威胁情报,应急响应,漏洞预警

新型SHub”Reaper”变种利用AppleScript窃取macOS终端数据

FreeBuf

2026年5月24日 18:00 上海

在小说阅读器读本章

去阅读

过去两年间，针对macOS系统的信息窃取恶意软件持续激增，威胁行为者不断在相关恶意软件家族中迭代成功技术。最新升级来自新发现的SHub窃密框架变种，其构建标签被追踪为”Reaper”。

Part01

多阶段静默渗透机制

SentinelOne在野外发现的Reaper活动明显不同于标准且高调的社会工程手段，它采用精心设计的多阶段投放管道，旨在悄无声息地绕过苹果现代操作系统的安全防护。正如SentinelOne研究团队强调：

“Reaper使用伪造的微信和Miro安装程序作为诱饵，但其感染链在每个阶段都会改变伪装方式，这尤为突出。”

Part02

绕过终端防护的新技术

传统SHub构建依赖”ClickFix”策略，诱骗受害者手动将恶意命令复制粘贴到macOS终端控制台。而Reaper变种完全摒弃了这种方法以绕过最新安全屏障：

“…该变种采用完全绕过终端的投放机制，规避了苹果Tahoe 26.4针对此类攻击流程的缓解措施。”

Part03

三层伪装架构

感染载体将有效载荷封装在看似正常的已签名应用程序安装程序中，伪装成Miro或微信等标准协作工具。执行后，多阶段投放管道通过一系列欺骗性品牌面具循环隐藏其操作痕迹：

• 托管层：二级有效载荷包托管在模仿合法微软基础设施的错拼域名上
• 执行层：下载的有效载荷以真实苹果安全更新为幌子在后台执行
• 持久化层：恶意软件将其主要执行资产隐藏在伪造的Google软件更新目录环境中

Part04

数据窃取与传输技术

在主机激活后，Reaper会运行本地配置扫描，针对典型信息窃取目标——收集系统配置文件、本地浏览器凭证库、会话cookie和加密货币钱包密钥。但Reaper构建标志性的升级是模仿著名Atomic macOS窃密软件(AMOS)的专用文档收集例程。该模块设计用于搜索本地用户路径中的高价值文本文档、PDF、电子表格配置和数据库资产。为防止大量外发数据触发本地数据丢失防护(DLP)或防火墙异常，加载程序会对窃取的数据进行分片，使用隐蔽的分块上传流将数据传输回主控URL(https://hebsbsbzjsjshduxbs.xyz)。

Part05

持久化后门机制

为确保重启后仍保持长期可见性，Reaper会在主机上投放高度持久的User LaunchAgent脚本。该任务结构特意命名以完美融入标准应用程序行为，伪装成常规Google后台组件。

原生LaunchAgent配置设计为每60秒自动触发此GoogleUpdate信标脚本，记录系统详细信息并通过C2服务器的/api/bot/heartbeat端点进行检入。

Part06

防护建议

Reaper变种的出现证明，针对macOS的威胁循环正在匹配Windows环境中长期观察到的模块化规避架构。为保护企业终端，防御者应超越基本的终端执行边界。强烈建议安全团队：将软件安装权限严格限制在已验证的企业应用程序目录；实施严格的行为规则以捕获未经授权的User LaunchAgent创建；部署能够识别针对用户文档目录的快速程序化文件抓取行为的终端监控。

参考来源：

Bypassing Terminal Protections: New SHub “Reaper” Variant Abuses AppleScript to Loot macOS Endpoints

Bypassing Terminal Protections: New SHub “Reaper” Variant Abuses AppleScript to Loot macOS Endpoints

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《新型SHub”Reaper”变种利用AppleScript窃取macOS终端数据》