macOS 開發者成攻擊目標！Termius 應用程式遭植入 ZuRu 後門程式

近期網路安全威脅再度升級，駭客將目標鎖定開發者社群，透過惡意竄改知名跨平台 SSH 連線工具 Termius 來進行攻擊。攻擊者在這些被入侵的軟體包中植入最新版本的 macOS.ZuRu 後門程式，一旦安裝後會在背景靜默執行，建立長期潛伏機制，並具備下載其他惡意元件及接收駭客遠端指令的能力。

ZuRu 後門程式演進歷程

ZuRu 後門程式最早於 2021 年 7 月在中國被發現，當時透過「百度搜尋結果」進行散布。自那時起，這種木馬程式已被用來感染多款面向開發人員的熱門 macOS 工具，包括 SecureCRT、Navicat 以及微軟的 Mac 版遠端桌面等。

自去年以來，盜版軟體開始嵌入更新版的木馬程式，並具備更強大的遠端控制功能。攻擊者透過使用自己的臨時數位簽章取代開發商的原始簽章，成功繞過 macOS 的安全檢查機制。

攻擊手法分析

資安業者 SentinelOne 的分析師在研究報告中指出，macOS.ZuRu 的最新變種持續使用駭客慣用的手法，專門針對開發人員與 IT 從業人員常用的正版 Mac 應用程式進行惡意程式植入。資安專家認為，這波攻擊成功入侵的主要原因是目標系統「欠缺完善的端點防護」。

木馬程式透過 .dmg 映像檔進行散布，內含經過竄改的 Termius 應用程式。正版 Termius 大約 225MB，而被植入木馬的版本因為加入惡意程式，檔案大小增加到約 248MB。這種檔案大小的差異可作為初步識別惡意版本的指標。

技術特徵與影響

一旦執行後，惡意程式會同時啟動木馬載入器與正版應用程式，讓受害者無法察覺系統已遭入侵。此惡意執行檔專為最新版 Mac 系統設計，僅支援 macOS Sonoma 14.1（2023 年 10 月發布）或更新版本。

該後門程式具備多樣化的指揮與控制功能，包含檔案傳輸、系統偵察、程序執行與控制，以及擷取指令執行結果的能力。攻擊者運用開源的 Khepri 工具來進行這些指揮與控制操作。

威脅指標與防護建議

在近期攻擊中，駭客使用了 termius[.]fun 和 termius[.]info 等惡意網域。資安團隊應將這些網域列入黑名單，並監控相關網路流量。

針對此類針對性攻擊，企業應加強以下防護措施：建立完善的端點防護機制、定期檢查應用程式數位簽章的有效性、教育開發人員避免從非官方來源下載軟體，以及建立異常網路流量監控機制。由於攻擊者持續針對開發者工具進行惡意植入，IT 部門更應提高警覺，定期稽核系統中安裝的開發工具來源與完整性。

本文轉載自 ​Cybernews。