在当前的网络安全环境中，信息窃取木马 （infostealers）成为了一个显著的威胁，近年来，攻击者利用多种手段来侵入和操控用户的设备。最近，Jamf Threat Labs的研究显示，攻击者正在使用PyInstaller这一工具在macOS系统上部署数据窃取木马。这一方法的出现不仅揭示了攻击者在利用合法工具进行恶意行为的能力，也反映出macOS平台上恶意软件的逐渐演变。

PyInstaller工具及其使用

PyInstaller是一种广泛使用的开源工具，它允许开发者将Python代码打包成独立的可执行文件，从而无需在目标系统中安装Python环境或关注版本兼容性。由于Apple从macOS 12.3开始去除了系统自带的Python，这一工具显得尤为重要。然而，攻击者也开始利用这一工具来打包恶意代码，以便于在macOS系统上执行。

根据Jamf Threat Labs的研究，攻击者通过将Python代码整合成Mach-O可执行文件，从而能够在macOS系统上无缝运行。通过分析样本，他们发现在2025年4月，于VirusTotal上发现的一个名为stl的可疑Mach-O文件就是利用PyInstaller打包的信息窃取木马。该样本一经执行，便会通过AppleScript不断提示用户输入密码，从而试图获取用户的凭证信息。

与此同时，研究人员实验证实，该样本被改为ad-hoc签名，并未获得有效的签名授权。通过一系列静态和动态分析，他们进一步揭示了该样本的行为：一旦被执行，恶意代码将会在临时目录中动态提取、执行并收集用户信息。

动态与静态分析的结合

Jamf Threat Labs进行了详尽的动态与静态分析，对stl样本的行为进行了系统性评估。静态分析显示，可执行文件属Mach-O FAT二进制格式，支持x86_64和arm64两种架构。通过提取文件的相关参数，研究人员确认该样本的确是通过PyInstaller打包而成，且其工作流程十分典型：将所需的Python库及依赖文件嵌入到可执行文件中。

动态分析则重点观察了stl样本在运行过程中对系统的影响。研究发现，该样本在执行过程中会尝试与多个外部域名互联，下载可能用于进一步攻击的payload。同时，它会通过执行AppleScript来引导用户输入敏感信息。此外，该样本的行为模式与其他已知的恶意木马会有明显的相似性，显示了其在信息获取方面的深远影响。

打包解压与反编译技术

为了进一步揭示该恶意软件的真实意图，研究人员还对可执行文件进行了打包解压和反编译处理。通过使用Pyinstxtractor等工具，Jamf Threat Labs成功解析出了样本中的实际Python代码。分析过程中，他们发现恶意脚本中存在多种混淆技术，包括字符串反转和Base85编码，加密字节则使用XOR加密。这种复杂的混淆手段使得即使是经验丰富的安全分析师在没有足够工具和知识的情况下，也难以快速识别其真正意图。

经过解码后，该Python脚本揭露了恐怖的功能，明确显示其意图不仅是获取用户凭证，还能扫描用户的文件系统以获取加密货币钱包信息，从而窃取数字资产。

实践中的应用及后续分析

在对macOS的信息窃取木马的研究中，我们可以看到，攻击者通过利用PyInstaller工具，达到了很高的隐蔽性及有效性。这一趋势表明，随着攻击手段的不断演进，开发人员和安全专业人士需要保持高度警惕，及时更新安全防御手段。

随着越来越多的企业和个人用户采用macOS系统，相关的网络安全对策也亟待加强。安全专家呼吁，在使用开放源代码的工具时，开发者应具备一定的安全意识，同时对外部依赖的包负责地进行审查。

Jamf Threat Labs将继续追踪这些技术，以便尽早识别并防范潜在的恶意活动，确保macOS设备的安全，为用户提供更稳固的防护措施。

在当前的网络安全形势下，加强对这类风险的认识，以及及时更新防御技术至关重要。攻击者总是在不断寻找新的攻击向量，了解并防备这些向量无疑是确保设备安全的基础。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！