IT之家 5 月 19 日消息，网络安全公司 SentinelOne 最新披露 Reaper 信息窃取器，针对 macOS 用户改用 Apple 发起攻击，并借假冒 WeChat、Miro 安装包诱导下载。

SentinelOne 披露称 Reaper 属于 SHub 信息窃取器的衍生变种，IT之家援引博文介绍，核心变化主要有以下两点：

• 一是从早期依赖 ClickFix 的 Terminal 诱导执行，转向利用 Apple；
• 二是它不只偷数据，还会安装后门，给攻击者持续远程访问能力。

研究人员称，攻击者把假冒安装包放在看起来接近正规服务的域名上，主要冒充微信（WeChat）和 Miro（在线协作白板工具）。

恶意 Apple 脚本界面

文中提到的示例域名包括 qq-0732gwh22［.］com、mlcrosoft［.］co［.］com 和 mlroweb［.］com。

相比旧版 SHub 让用户把命令粘贴进 Terminal，Reaper 改用 apple:// URL scheme（Apple 链接方案）直接拉起 macOS Editor（脚本编辑器），并预载恶意 Apple。

这样做的目的就是绕过苹果在 3 月底随 macOS Tahoe 26.4 加入的 Terminal 防护。用户点击“Run”后，脚本会弹出伪造的苹果安全更新提示，还会提到 XProtectRemediator，从而进一步降低警惕。

这段脚本随后用 curl 下载 shell 脚本，再通过 zsh 静默执行。恶意程序会先检查系统是否使用俄语键盘或输入法，如果匹配，就上报“cis_blocked”事件并退出；如果不是，再调用 macOS 内置的 osa 执行后续窃密逻辑。

Reaper 的窃取范围很广，包括 Chrome、Firefox、Brave、Edge、Opera、Vivaldi、Arc、Orion 的浏览器数据，也盯上 MetaMask、Phantom 等钱包扩展，以及 1Password、Bitwarden、LastPass 等密码管理器扩展。

它还会收集 iCloud 数据、Telegram 会话和开发者配置文件。内置的 Filegrabber 模块会扫描桌面和文稿文件夹，优先拿走 2MB 以下文件，PNG 图片最高放宽到 6MB，总量上限 150MB。