文章总结： 朝鲜黑客组织SapphireSleet通过社交工程手段伪造macOS软件更新，诱骗用户输入密码后窃取加密货币钱包、浏览器凭证等敏感数据。攻击完全依赖社会工程而非漏洞利用，部署持久化后门并通过Telegram外泄数据。防御建议包括验证外部脚本来源、监控系统变更及使用硬件钱包。 综合评分： 82 文章分类： 恶意软件,社会工程学,威胁情报,安全意识,终端安全

朝鲜黑客伪造macOS更新窃取密码与加密货币数据

FreeBuf

2026年6月18日 18:00 上海

在小说阅读器读本章

去阅读

Part01

新型社交工程攻击威胁macOS安全

一场针对macOS用户的新型网络攻击活动正构成严重威胁，该攻击完全不依赖软件漏洞实施破坏。攻击者通过精心设计的社交工程手段，诱骗受害者主动交出密码与敏感数据，整个攻击过程看起来与正常操作无异。

这场攻击伪装成常规软件更新，实则是精心布置的陷阱。当受害者察觉异常时，往往为时已晚。经微软分析师确认，该活动始于2026年初，攻击者首次采用了针对macOS的新型攻击技术。

Part02

朝鲜背景的黑客组织Sapphire Sleet

此次攻击由朝鲜国家支持的黑客组织Sapphire Sleet（至少自2020年3月起活跃）发起。该组织专门针对加密货币、风险投资和区块链相关行业的从业人员，核心目标是窃取全球高价值个人与组织的数字资产和金融信息。

攻击完全通过社交工程实施：黑客首先在社交媒体或专业平台上冒充招聘人员接触目标，经过交流后诱导受害者下载伪装成Zoom SDK更新的文件。该文件通过macOS原生脚本编辑器执行，在后台悄无声息地加载恶意代码，受害者仅能看到看似正常的软件安装界面。

Part03

伪造系统更新窃取凭证

恶意脚本运行后，会在受害者设备上静默部署名为systemupdate.app的虚假应用。该应用会显示与macOS原生密码对话框完全一致的界面，提示用户输入密码以”完成软件更新”。大多数用户会不假思索地输入密码。

密码输入后，恶意软件会立即验证其有效性，并通过Telegram消息服务将凭证发送给攻击者。随后，另一个名为softwareupdate.app的虚假应用会显示”更新完成”的提示框消除受害者疑虑。与此同时，恶意软件开始窃取加密货币钱包文件、浏览器保存的密码、Telegram会话数据、SSH密钥、Apple Notes和浏览历史记录。

Part04

持久化后门与数据外泄

除窃取凭证外，Sapphire Sleet还部署了多个后门维持长期访问。其中com.apple.cli组件作为主机监控工具持续与攻击者服务器通信；更高级的icloudz后门直接将代码加载到内存中，几乎不在磁盘留下痕迹，极大增加了安全工具的检测难度。

恶意软件会安装启动守护进程，确保系统每次重启后自动恢复后门。所有窃取的数据经压缩后通过8443端口上传至攻击者控制的服务器，而凭证则通过Telegram Bot API单独发送。2026年6月，微软发现该组织开始使用Microsoft Teams主题的诱饵文件，采用新的载荷名称继续实施相同攻击链。

Part05

防御建议与妥协指标

微软建议用户切勿未经IT团队确认就运行通过聊天消息分享的脚本或终端命令。企业应阻止从互联网下载已编译的AppleScript文件，并监控macOS TCC数据库的未授权变更。管理加密货币资产的用户应使用硬件钱包并定期更换浏览器保存的凭证。

攻击指标(IoCs)：

注：IP地址和域名已进行安全处理（如使用[.]），防止意外解析或超链接。仅在MISP、VirusTotal或SIEM等威胁情报平台中恢复原始格式。

参考来源：

Hackers Use Fake Software Update Prompts to Steal Passwords and Crypto Wallet Data From macOS Users

Hackers Use Fake Software Update Prompts to Steal Passwords and Crypto Wallet Data From macOS Users

推荐阅读

#

#

#

#

#

#

#

#

#

#

#

#

#

#

#

电报讨论

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《朝鲜黑客伪造macOS更新窃取密码与加密货币数据》