macOS窃密木马扩散,瞄准浏览器与加密资产
长期以来,macOS系统因为安全生态和用户群体特点,被不少人认为比Windows环境更难成为恶意软件的主要目标。但这一印象正在被不断打破。
据Moonlock Lab监测,近期一种名为Odyssey的macOS窃密木马出现快速扩散趋势,影响范围已经覆盖超过100个国家。该恶意软件并不只是针对单一数据类型,而是在尝试成为一个全面的信息窃取工具,从浏览器账户到加密钱包,再到企业级访问凭证,都被纳入攻击范围。
Odyssey最直接的目标,是用户日常积累的大量数字身份数据。
该木马能够窃取Chrome、Brave、Edge等主流浏览器中的保存密码、Cookie以及自动填充信息。这些数据看似零散,但实际上已经成为攻击者进入用户账户体系的重要入口。
一个浏览器Cookie,可能意味着无需再次登录即可访问邮箱、社交平台甚至企业内部系统;保存的密码,则可能直接暴露金融账户和工作账号。对于攻击者来说,浏览器正在成为个人数字资产的重要仓库。
更值得关注的是,Odyssey明显加强了对加密资产用户的针对性。
监测数据显示,该木马会搜索包括Electrum、Exodus、Ledger Live在内的16个以上加密应用钱包文件,同时针对约300个加密扩展ID进行数据窃取。除此之外,它还会尝试获取SSH密钥、云服务配置文件以及macOS Keychain数据库中的信息。
这意味着攻击目标已经从普通用户数据,延伸到开发者、企业员工以及高频使用数字资产工具的人群。
过去几年,加密钱包安全主要依赖私钥保护和硬件设备隔离。但现实情况是,很多用户在电脑端同时管理交易工具、浏览器插件、交易平台账户以及企业资源。一旦终端设备被控制,攻击者往往可以通过多个渠道扩大收益。
Odyssey采用的攻击方式也体现出这一趋势。
该木马会在系统中安装开机自启的后台服务,试图长期驻留设备。同时,它还会针对部分加密钱包应用进行替换操作,例如将Ledger、Trezor和Exodus相关应用替换为具有窃取功能的木马版本。
这种方式比单纯窃取文件更加隐蔽。用户看到的可能仍然是熟悉的钱包应用界面,但后台逻辑已经发生变化。
对于安全行业而言,这类攻击反映出恶意软件正在向“生态化”发展。攻击者不再满足于获取单一密码,而是在收集完整的用户身份链条:浏览器数据提供账户入口,加密钱包提供资产目标,SSH密钥和云配置则可能打开企业系统的大门。
macOS用户数量近年来持续增长,也让该平台逐渐成为攻击者关注的对象。尤其是在开发者、设计师、金融从业者和加密资产用户群体中,Mac设备占比较高,这些用户往往拥有更高价值的数据。
目前,Odyssey相关C2服务器地址已经被公开披露,安全团队可以据此进行进一步追踪和防护。但对于普通用户而言,更重要的是避免下载来源不明的软件、谨慎安装浏览器扩展,并对钱包和企业账户采取额外保护措施。
随着个人设备越来越接近数字资产和企业系统的入口,终端安全正在成为新的竞争场。macOS并非天然免疫,攻击者也正在适应新的目标环境。





