Według Jamf Threat Labs, które odkryło tę aktywność, kampania wygląda bardziej jak eksperyment omijania zabezpieczeń macOS niż w pełni rozwinięta i wysoce ukierunkowana operacja. Od listopada 2024 roku Jamf odkrył wiele aplikacji na VirusTotal, które wydawały się całkowicie nieszkodliwe dla wszystkich skanów AV, ale prezentowały funkcjonalność „etapu pierwszego”, łącząc się z serwerami powiązanymi z północnokoreańskimi hakerami.
Jak szkodniki oszukują macOS?
Wszystkie szkodniki są podpisane i poświadczone notarialnie przez legalny identyfikator programisty Apple. Oznacza to, że złośliwe aplikacje przeszły kontrole bezpieczeństwa, więc systemy macOS traktują je jako zweryfikowane i pozwalają na ich uruchamianie bez ograniczeń. Nazwy większości aplikacji są skoncentrowane wokół tematów kryptowalutowych, co jest zgodne z zainteresowaniami północnokoreańskich hakerów kradzieżą finansową.
Wszystkie zostały stworzone dla systemu macOS przy użyciu frameworka Flutter firmy Google, który umożliwia programistom tworzenie natywnie kompilowanych aplikacji dla różnych systemów operacyjnych przy użyciu jednej bazy kodu napisanej w języku programowania Dart. Sytuacja taka jest rzadko spotykana, a takie właśnie podejście nie tylko zapewnia twórcom szkodników wszechstronność, ale także utrudnia wykrycie złośliwego kodu, ponieważ jest on osadzony w bibliotece dynamicznej (dylib), która jest ładowana przez silnik Flutter w czasie wykonywania.
Czytaj też: Mobilni twórcy doczekają się wymarzonej funkcji w smartfonach
Osadzony w dylib kod obsługuje wykonywanie AppleScript, umożliwiając wykonywanie skryptów wysyłanych z serwera comand and control (C2). Pięć z sześciu złośliwych aplikacji odkrytych przez Jamf zostało podpisanych przy użyciu legalnego identyfikatora programisty, przeszły także etap weryfikacji poświadczeń, co oznacza, że aplikacje zostały przeskanowane przez zautomatyzowane systemy Apple i uznane za bezpieczne.
Ale Jamf odkrył również warianty oparte na Golangu i Pythonie, nazwane “New Era for Stablecoins and DeFi, CeFi (Protected).app” i “Runner.app”, przy czym ta ostatnia została zaprezentowana jako prosta aplikacja Notatnika. Oba wysyłały żądania sieciowe do znanej domeny powiązanej z Koreą Pn. – “mbupdate.linkpc[.]net” – i zawierały funkcje wykonywania skryptów.
Firma Apple od tego czasu unieważniła podpisy aplikacji odkrytych przez Jamf, więc nie ominą one zabezpieczeń Gatekeeper jeśli zostaną załadowane w aktualnym systemie macOS.