Selon Jamf Threat Labs, jeudi la société de cybersécurité a identifié une version falsifiée du gestionnaire de presse-papiers Maccy qui livre un nouveau logiciel malveillant basé sur Rust nommé PamStealer. L'application malveillante est distribuée via un site web imitant l'original contenant un fichier AppleScript qui, lorsqu'il est exécuté, récupère les mots de passe des utilisateurs et les clés de portefeuille crypto en validant les identifiants de connexion via les modules d'authentification enfichables (PAM) de macOS.
Une fois installé, le logiciel malveillant utilise JavaScript for Automation et les API natives de macOS pour télécharger une charge utile de second stade conçue pour les Mac Apple Silicon. Il peut voler les identifiants de navigateur et les données du trousseau (Keychain), surveiller le contenu du presse-papiers, établir une persistance et demander un accès complet au disque (Full Disk Access) pour atteindre les fichiers protégés, y compris les sauvegardes de Mail, Messages et Time Machine.
Jamf n'a pas détecté de campagnes actives de PamStealer à ce jour, mais a informé Apple de ses conclusions.