Експерти з кібербезпеки повідомляють про нову кампанію розповсюдження шкідливого програмного забезпечення для macOS під назвою GhostClaw. Цей інфостілер спеціалізується на викраденні даних користувачів і вирізняється тим, що активно експлуатує типовий стиль роботи розробників.
Про це розповідає ProIT
Як GhostClaw проникає у систему
GhostClaw поширюється переважно через відкриті репозиторії на GitHub, пакетні менеджери на кшталт npm, а також інструменти розробки з інтегрованим штучним інтелектом. Зловмисники використовують звичку розробників без додаткової перевірки копіювати та запускати команди з README-файлів. Саме цей людський фактор і стає основною лазівкою для інфекції.
Шкідливий код здебільшого маскують під легітимні проєкти — це можуть бути SDK, трейдингові додатки чи утиліти. Зловмисники застосовують тактику «витримки»: спочатку репозиторій виглядає надійно, поступово набирає популярність, а згодом у нього непомітно додають скрипти, що завантажують вірус. Вчасно виявити таку підміну досить складно.
Чому стандартний захист macOS не спрацьовує
Інструкції з встановлення часто містять команди для завантаження й негайного виконання віддалених скриптів. Для системи такі дії виглядають цілком легітимно, адже ініціатором є користувач. У результаті GhostClaw обходить механізми безпеки без використання складних експлойтів, а всі дії вкладаються у межі дозволених користувачем прав.
«Архітектура безпеки macOS, як і раніше, функціонує коректно, але базується на припущенні, що користувач не запускатиме неперевірений код. На практиці ж прагнення швидкості та зручності змушує нехтувати цим правилом. Уся активність вірусу відбувається в межах дозволів, які користувач надає власноруч».
Додаткову небезпеку створює розвиток ШІ-асистентів для програмістів, які здатні автоматично підвантажувати сторонні компоненти. Це зменшує прозорість і контроль над тим, що відбувається у середовищі розробки, і підвищує ризик потрапляння інфікованого коду.
Рекомендації для захисту даних
Аналітики радять розробникам дотримуватися підвищеної обережності при роботі з чужим кодом:
- Завжди перевіряйте, що виконує команда, особливо якщо вона скопійована з README. Спочатку завантажте скрипт локально та перегляньте його вміст.
- Не покладайтеся лише на зовнішній вигляд чи популярність репозиторію. Переглядайте історію змін і звертайте увагу на раптові оновлення після довгої паузи.
- Не надавайте додаткам повний доступ до диска або розширені права без повної впевненості у їхній безпечності. Неочікувані запити на розширення прав — привід для підозри.
- Обмежуйте автономність ШІ-інструментів щодо завантаження сторонніх «скілів» та ретельно перевіряйте всі інтеграції.
Автоматизація пришвидшує роботу, але й створює нові «сліпі зони», де ховаються сучасні кіберзагрози. Дотримання базових принципів обережності допоможе уникнути втрати персональних і корпоративних даних.