Содержание
Новый малварь для Mac научился обходить Gatekeeper за счёт кражи ключей разработчиков и маскировки вредоносных файлов под «проверенные» приложения. По оценке вектора атаки, под риском оказываются до 100 млн пользователей Mac, потому что заражение начинается не с пользователя, а с разработчика.
22 апреля команда Mosyle Security сообщила о двух связанных угрозах: Phoenix Worm и ShadeStager. В связке они атакуют рабочие машины разработчиков и добираются до «мастер-ключей», которыми подписывают приложения для macOS.
Как Phoenix Worm и ShadeStager обходят проверку приложений в macOS
Схема тут неприятная именно тем, что она бьёт по доверенной цепочке. Gatekeeper смотрит на подпись и репутацию разработчика. А злоумышленники пытаются украсть то, что Gatekeeper считает «паспортом» — ключи разработчика.
По описанию Mosyle Security, атака начинается с социальной инженерии против разработчиков. В ход идут сценарии, которые выглядят правдоподобно для тех, кто пишет код: фейковые предложения от рекрутеров или срочные «тестовые задания» от якобы клиента.
Первым на машине появляется Phoenix Worm. Он закрепляется, присваивает устройству уникальный идентификатор, ждёт команд и следит за окружением. Отдельно исследователи отмечают, что он умеет проверять наличие защитного ПО и прятаться от него.
Дальше подключается ShadeStager. Его роль — кража ключей разработчика, облачных учётных данных и внутренних инструментов разработки. После этого злоумышленники могут подписывать вредоносные файлы так, будто это легитимные приложения от «проверенного» разработчика.
Почему это опасно даже для осторожных пользователей
Проблема не в том, что пользователь «сам поставил вирус». Проблема в том, что заражённым может оказаться файл, который выглядит как нормальный, подписанный и «верифицированный» macOS. Для системы это уже не подозрительный объект, а доверенный софт.
Фактически злоумышленники «травят колодец» в закрытом саду macOS. Они используют репутацию разработчика как входной билет на чужие машины. И если такой ключ утёк, последствия могут разъехаться по аудитории приложения, а не по одному неосторожному пользователю.
В Mosyle Security подчёркивают, что атака нацелена на цепочку поставки: сначала разработчик, потом его пользователи. При масштабе экосистемы Apple речь идёт о потенциально широком охвате — в оценке фигурируют 100 млн пользователей Mac по миру.
Что известно про реакцию Apple и защитные меры в macOS
Прямых заявлений Apple в этих данных нет. Но в описании ситуации звучит ожидание, что компания может выпустить исправление, которое усилит процесс проверки и верификации приложений.
Отдельная деталь для разработчиков: Apple добавила предупреждение в macOS 26.4, которое срабатывает при попытке вставить потенциально вредоносный код в Terminal. Это не решает проблему кражи ключей само по себе, но показывает, что Apple уже усиливает защиту вокруг типичных сценариев атак через «скопируй-вставь в терминал».
22 апреля — дата, когда Mosyle Security публично описала две угрозы: Phoenix Worm и ShadeStager.
По данным Mosyle Security: Mosyle Security.
