Ai总结： 新型Mac恶意软件Reaper通过伪装微信、Miro等应用下载页传播，利用脚本编辑器隐藏指令，窃取加密钱包与浏览器密码。攻击者结合仿冒域名与伪造更新界面诱导用户输入凭证，已成近两个月内第三起自动化AppleScript攻击事件。

Reaper恶意软件借伪造下载页潜入Mac设备，隐蔽性显著增强

一种名为Reaper的新型恶意程序正通过伪造的微信、Miro等知名应用下载页面实施传播。一旦成功植入，该软件将秘密提取用户的加密钱包信息及浏览器中保存的登录凭据，构成严重隐私与资产风险。

攻击路径升级：绕过终端防护机制，改用内置工具执行指令

该威胁在技术实现上已超越早期依赖终端命令注入的骗术。尽管苹果已在最新macOS版本中修补相关漏洞，但攻击者转而调用系统原生工具，以全新方式达成相同破坏效果，规避了常规检测。

脚本编辑器被滥用为隐蔽执行载体，代码藏于空白字符间

攻击入口设置在假冒下载站点，通过AppleScript协议自动启动预装于所有Mac设备的脚本编辑器。恶意逻辑被嵌入看似无害的ASCII图案与空格符号之中，用户在点击运行按钮时，即在无感知状态下触发恶意行为。

仿冒域名与虚假更新弹窗构建信任链，诱导密码泄露

攻击始于拼写错误的微软关联域名，其基础设施部署于高度伪装的网络节点。脚本执行后，会模拟苹果官方安全更新提示，诱使用户输入设备登录密码。随后，程序会识别系统键盘布局——若为俄语则终止运行，否则激活基于Atomic macOS框架的窃密模块。

目标覆盖钱包、浏览器与本地文件，形成全方位数据劫持

Reaper专门针对Ledger Live、Trezor Suite和Exodus等主流桌面钱包应用，通过篡改内部代码拦截并转移交易资金。同时，它从Chrome、Firefox、Edge及其扩展中提取已存储的账户信息。此外，特定扩展名的文档与桌面文件将被压缩为70MB的分卷包，上传至远程服务器。为维持持久控制，该软件还伪装成谷歌软件更新目录，植入长期后门。

多起相似攻击接连曝光，手法呈现规模化趋势

研究显示，这是两个月内第三起采用自动化AppleScript攻击模式的案例。此前已有攻击通过技术论坛发布虚假macOS故障排除教程，诱导用户输入终端命令完成数据窃取，并将合法钱包应用替换为恶意版本，显示出攻击链条日趋成熟。

防范建议：警惕异常弹窗，拒绝非必要脚本操作

安装新应用前务必核实来源链接真实性。如遇突然跳出要求输入Mac密码的窗口，应立即停止操作。使用具备行为分析能力的安全防护工具可提前拦截混淆脚本。若网站引导打开脚本编辑器，应果断关闭页面，避免潜在风险。