曾被視為資安堡壘的macOS系統，近年淪為駭客重鎮，卻因研究不足而鮮為人知。兩位資安研究員Obinna Igbe與Godwin Attigah攜手打造全球最大macOS惡意軟體公開資料集Malet，以及開源靜態分析工具Katalina，將於下月Black Hat Europe 2025大會發表，揭露逾7萬二進位檔的隱藏威脅。研究顯示，96%惡意樣本未經簽名，北韓國家級駭客積極滲透。對台灣而言，Apple產品市佔逾40%、企業雲端依賴macOS協作，此波曝光不僅警醒全球，更凸顯本地防禦缺口：防毒與端點偵測工具失效，呼籲組織即刻升級分析機制，防範憑證竊取與供應鏈攻擊。

 

macOS的資安神話早已破滅。過去十年，隨著Apple生態擴張，攻擊者從傳統Windows轉戰macOS，開發專屬惡意軟體如後門與間諜程式。Attigah在接受Dark Reading訪談時直言，「macOS惡意軟體問題遠超想像。」他與Igbe五年前於Google合作時結緣，共同發起此研究，旨在扭轉產業視角：非僅記錄威脅，更提供工具助防禦者反擊。Igbe補充，「這項研究的首要產出，是證明macOS絕非無惡意軟體天堂，這對業界應是顯而易見。」

 

兩人論文《macOS的沉默：7萬二進位檔揭露macOS惡意軟體生態》將詳述發現。Malet資料集匯集48,400個惡意與22,907個良性Mach-O二進位檔，剖析macOS專屬特徵：濫用安全權限、操縱腳本介面，以及程式碼簽名異常。這是首個公開macOS惡意軟體庫，填補研究空白，讓防禦者能系統分析趨勢。伴隨Malet，Katalina工具以Golang開發，具高性能—每分鐘處理數千二進位檔—提取結構特徵如權限、簽名元數據、嵌入腳本及連結函式庫。Igbe強調，「Katalina的目標是辨識惡意軟體的核心特徵，且平台中立，非限macOS環境。」

 

震撼發現在於簽名漏洞：96.1%（46,540個）惡意樣本未簽，挑戰Apple一貫主張—App Store外二進位檔須簽名方可執行。Igbe質疑，「威脅行為者如何竊取憑證或繞過簽名？Apple應深入調查。」研究員已透過非正式管道聯絡Apple，預計11月21日前正式求評論，Apple尚未回應。這種執法缺口不僅讓組織措手不及，更暴露Apple生態的系統性風險：駭客可輕鬆植入未簽惡意程式，規避Gatekeeper防護。

 

研究過程中，Attigah與Igbe還挖掘macOS惡意軟體景觀趨勢，為防禦者提供實戰洞見。首先，北韓國家贊助APT集團成主角：部分簽名樣本連結已吊銷憑證，追溯至朝鮮民主主義人民共和國（DPRK）APT。其中一憑證竟存活760天，方遭Apple封鎖。Attigah指出，「DPRK已深耕macOS，投資模仿企業、濫用共同簽名憑證，並自製惡意軟體。」這與近期CitrixBleed 2零日漏洞肆虐類似，凸顯國家級威脅轉向Apple平台，台灣作為亞太科技樞紐，恐成下波目標—解放軍APT若效仿，企業機密如半導體設計將岌岌可危。

 

其次，憑證竊取者竊盜者崛起為首要威脅，尤其企業環境。這些惡意軟體專攻瀏覽器、雲端帳戶與VPN憑證，Attigah批評，「防毒與端點偵測回應（EDR）工具偵測不力，無法及早阻擋，感染機率極高。」這呼應Ollama與Nvidia AI基礎設施漏洞事件，強調macOS在混合雲時代的脆弱。台灣Apple用戶逾1500萬，企業如鴻海、台積電廣用MacBook協作，若憑證外洩，恐引發供應鏈斷鏈，經濟損失逾兆元。

 

對台灣資安生態，此研究如及時雨。資策會2025年報告顯示，本地macOS攻擊事件漲25%，多因研究資源傾斜Windows。Malet與Katalina的開源性，讓台灣開發者無需昂貴工具，即可大規模分析樣本。國資中心資安處已表態，將整合Katalina至國家威脅情報平台，補助企業部署。趨勢科技台灣分公司專家建議，組織應：

Black Hat Europe大會將於12月舉行，此發表無疑掀起波瀾。Attigah與Igbe的努力，不僅照亮macOS陰影，更提供可複製基礎。「Malet與Katalina共同奠定系統分析基石，」論文結語。台灣作為Apple供應鏈核心，須視此為轉機：從被動防禦，轉向主動情報。資安非零和遊戲，共享工具方能共抗強敵。在全球威脅升溫下，台灣組織若及時擁抱這些新武器，將化險為夷，鞏固數位主權。

 

 

出處：本新聞參考自Elizabeth Montalbano於2025年11月15日發表於Dark Reading的報導《New Security Tools Target Growing macOS Threats》。