在网络安全的暗流涌动中，一个威胁的名字让人心生警惕——拉扎鲁斯集团。这是一群背负着国家意志的黑客，最近又在其阴暗的网络活动中，为我们揭示了一种新的隐蔽技术。这项技艺不仅展示了他们在网络攻击领域的娴熟手法，还再一次凸显了现代网络环境中保护措施的脆弱。根据网络安全研究机构Group-IB的报告，该团伙正在利用名为“RustyAttr”的新型木马，通过macOS系统的扩展属性隐藏恶意代码，而这一方式足以绕过传统的安全检测。

自2024年5月以来，拉扎鲁斯集团已开始运用这种新的隐匿技术，他们巧妙地将恶意代码储存在文件的扩展属性（EAs）中。扩展属性是附加于文件的隐藏数据容器，除了常规的文件属性，如大小或创建日期外，它们还能够存储其它额外的信息。由于这些属性在如Finder或Terminal等应用程序中默认是不可见的，因此带来了极大的安全隐患。攻击者通过.xattr命令可以轻而易举地访问并利用这些隐藏的数据，从而实施攻击。

与其2019年藏匿负载于资源分支的Bundlore广告软件相似，拉扎鲁斯的新方法则利用现代macOS系统中的扩展属性。这种方法并非易于察觉的，正是由于隐匿的特性，使得运用传统的病毒检测工具难以发现。

可能的攻击场景是一款外表合法的恶意应用，采用Tauri框架构建。该应用以伪造的与工作机会或加密货币相关的PDF文件为噱头，正如拉扎鲁斯以往的攻击主题所示。这种框架的特点在于它结合了HTML、CSS、JavaScript和Rust的技术，使得开发者能够构建轻量级桌面应用程序。

在这一恶意应用中，隐藏恶意代码的扩展属性被称为“test”。利用名为“preload.js”的JavaScript文件，攻击者得以与隐藏的脚本进行互动。最终，这段JavaScript代码通过利用Tauri的功能，从扩展属性中提取恶意脚本并执行，使得攻击者在目标设备上可以悄无声息地进行操作。

研究人员强调：“如果这个扩展属性存在，用户界面就不会显示；反之，则会展现出伪造的网页。”这样的设计不仅展示了拉扎鲁斯集团手法的高超，还显示了他们在用户心理上的精准把控。

虽然现阶段尚未确认此次攻击的受害者，但这次技术的运用明显显示出拉扎鲁斯集团在不断提升自身的攻击手段中所做的努力。这意味着他们可能在为未来的大规模攻击进行实验，而这一发现由于其创新性质，尚未被MITRE ATT&CK框架所记录。

对于macOS用户而言，重要的是在下载或执行文件之前，务必验证文件的来源和合法性，尤其是在面对那些看似无害的PDF文件时。保持macOS Gatekeeper的开启状态，以防止未受信任应用的执行，也是一个有效的保护措施。更为重要的是，利用先进的威胁情报解决方案来保持对新兴威胁的警惕，并制定有效的保护策略。

拉扎鲁斯集团对网络世界的持续威胁值得每一个企业和个人警惕。随着网络空间的逐步复杂化，安全形势愈发严峻。未来，如何在这个充满挑战的环境中，保障自身的信息安全，将是摆在所有网络使用者面前的一道重要课题。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课