最近研究人员发现一款macOS恶意软件（被称为“Silver Sparrow”），已经感染了分布在153个国家的近3万台英特尔和M1 Mac设备，引起安全社区的注意。

据悉，Silver Sparrow以两个不同文件的形式分发，文件分别名为updater.pkg、update.pkg。唯一区别是update.pkg同时包含Intel x86_64和Apple M1二进制文件，而updater.pkg仅包含Intel可执行文件。

SilverSparrow通过使用JavaScript，创建一个恶意Shell脚本，每24小时与命令和控制服务器进行通信一次。

除此之外，它还有短暂的自毁机制，在运行时，恶意软件将检查 ~/Library/._insu 文件是否存在，如果找到，则会清除感染过程中的任何痕迹。

有意思的是，当Silver Sparrow被安装在基于Intel芯片的Mac计算机上时，会弹出一个展示“Hello，World!”的窗口，而安装在使用M1芯片的Mac时，这个窗口会被一个有着红色背景，以及写着“You did it!”的窗口所取代。

Red Canary研究人员表示：

“虽然目前我们没有观察到Silver Sparrow有任何恶意payload，但是鉴于它兼容M1芯片、影响范围波及全球、感染率相对较高以及整项操作都比较成熟，我们有理由怀疑Silver Sparrow是一个相当严重的潜在威胁，可以在短时间内加载威力巨大的payload。”

目前，苹果正在采取措施，以减轻Silver Sparrow带来的潜在威胁。经确认苹果已经撤销了用于签署恶意包的开发者账户证书。虽然这限制了这种特殊的Silver Sparrow变种的传播，但仍为使用不同证书签署的类似软件包敞开了大门。

此外，苹果公司表示其在硬件和软件层面都有许多安全措施，并将定期发布软件更新，其中包含针对Silver Sparrow等潜在威胁的补丁。

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com