一款采用Rust语言编写、与朝鲜黑客组织存在关联的Mac恶意软件近期浮出水面,被安全厂商SentinelOne命名为Gaslight。Apple已在6月初紧急更新XProtect内置检测规则,截至6月30日,VirusTotal上有29家安全厂商能够标记该文件。但真正的危险在于,攻击者随时可以微调代码再次绕过防线。
研究人员发现,Gaslight不仅会窃取Chrome、Brave、Firefox和Safari的浏览器数据,还会提取终端命令历史、已安装应用列表以及储存Mac密码的加密钥匙串。更致命的是,它能充当后门,为攻击者打开远程控制通道,随时下发额外载荷。
![]()
然而让安全团队侧目的并非窃密能力,而是一种全新的隐匿手法。该恶意软件在代码中硬编码了38条伪造的系统消息,所有内容均为纯文本,刻意模仿AI安全工具扫描时的内部反馈格式。这些伪造日志包含“token逻辑似乎不稳定”“连接超时”乃至直接的“Crash”等字样。
攻击者的目标不是攻破AI系统本身,而是诱导AI代理误以为自身出现内部异常,从而主动中断分析流程,放弃对恶意文件的标记。这意味着恶意软件尚未触发任何警报,AI检测引擎就主动选择了“放弃”,呈现出一种让人意想不到的认知反差:被寄予厚望的自动化防御,反而在最基础的文本欺骗面前主动退场。
Moonlock团队追踪发现,相关行动属于朝鲜黑客针对Mac用户的惯用伎俩,攻击者往往伪装成招聘人员、游戏开发者或软件测试员,诱使受害者下载感染文件。此次Gaslight的出现,标志着对抗AI检测的手段已从躲避特征升级到直接操控机器的判断逻辑。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.