安全机构Jamf Threat Labs发布macOS的安全报告，指出macOS的恶意软件问题日益严重

曾几何时，当你使用Mac电脑时，朋友可能会说：“用苹果好，没那么容易中毒。” 这个观点在科技圈和普通用户中流传甚广，几乎成了购买Mac的一个隐性理由。然而，2025年12月，一份来自安全机构Jamf Threat Labs的报告，正在打破这个长达二十年的“安全神话”。报告揭示了一个令人不安的趋势：macOS面临的恶意软件威胁正在以前所未有的速度增长。

苹果的安全错觉

长久以来，macOS相对安全的原因被普遍归结于其优越的系统架构。但Jamf报告揭示了一个更现实的原因：过去黑客对macOS兴趣不大，主要是因为其用户基数远小于Windows系统。“投入产出比”是黑客世界永恒的计算题。当Windows占据全球近七成的桌面市场份额时，攻击Windows系统显然能带来更大的潜在收益。然而市场格局正在悄然变化。随着Mac在全球PC市场的份额持续攀升——特别是在创意、教育和高收入人群中的渗透——macOS已经不再是黑客眼中的“小众目标”。苹果精心构建的软件分发模式正在受到严峻考验。Mac App Store之外的应用需要经过加密签名和认证，这本是一道坚固的防线。但现在，黑客们找到了绕过这道防线的方法。

被滥用的“公证通行证”

苹果的安全体系中，“公证”是一个核心环节。简单来说，就是苹果对开发者提交的应用程序进行自动化检查，确认不包含恶意代码后，为其授予“公证证书”。拥有此证书的应用在安装时几乎畅通无阻，系统认为它是“可信的”。报告显示，黑客们现在的策略是：通过地下渠道购买或窃取真实的开发者ID证书。这些被盗或非法获取的证书让恶意软件拥有了合法软件的“外衣”。当用户下载并安装这类软件时，Mac系统会看到它拥有苹果颁发的公证证书，便认为这是一个安全的应用，不会触发任何警告或拦截。这就好比盗贼拿到了警察局颁发的“好人证”，在检查点畅通无阻。Jamf在报告中指出，2025年他们检测到的恶意软件样本中，超过40%使用了合法获取的开发者证书进行签名，这个数字相比三年前增长了近三倍。

隐蔽的“特洛伊木马”

如果只是伪装成合法应用，还不足以说明问题的严重性。报告揭示了攻击手法中更具欺骗性的一环：恶意代码被封装在看似无害的Swift执行文件中。Swift是苹果主推的编程语言，用它编写的程序在macOS上运行非常普遍。黑客们利用这一点，将恶意代码嵌入Swift文件，但这些文件在苹果的静态分析过程中表现得“人畜无害”。静态分析相当于安检时的X光扫描，而黑客们的恶意Swift文件在“扫描”时几乎不执行任何操作，完美避开审查。一旦通过公证，安装到用户电脑上，这些文件才会“醒过来”，执行其恶意功能。Jamf的安全研究人员表示：“现在的恶意软件越来擅长‘装死’，它们在审查阶段极其安静，只有在特定条件下才会被激活，这给检测带来了巨大挑战。”

从数字到现实：谁在攻击Mac用户

随着Mac用户群体扩大，攻击者的目标也日益明确。报告分析了几类主要的威胁群体：加密货币挖矿软件是macOS平台上最常见的恶意软件类型之一。它们悄悄利用用户的计算机资源挖掘加密货币，导致电脑变慢、发热严重、电费飙升。信息窃取木马则专注于盗取用户的敏感数据——银行凭证、社交账号密码、个人信息等。随着越来越多人在Mac上处理工作和财务，这类软件的攻击频率显著增加。广告软件和捆绑垃圾软件虽然破坏性相对较小，但极其烦人，它们会修改浏览器设置、弹出无尽广告，严重影响用户体验。一个值得注意的趋势是，针对企业的攻击也在增加。黑客意识到，许多创意、科技和金融行业的专业人士使用Mac工作，而这些电脑往往存储着高价值的数据。

用户如何自我保护

面对日益复杂的威胁环境，Jamf报告建议Mac用户采取多层次的防护策略：保持系统更新是最基本也最重要的措施。苹果会定期发布安全补丁修复已知漏洞，及时更新能封堵大部分攻击途径。谨慎对待第三方应用。即使是从知名网站下载的软件，也要确认来源是否可靠。一个简单的原则是：如果不是绝对必要，尽量从Mac App Store直接安装应用，这里的应用经过了苹果更严格的审核。安装信誉良好的安全软件。虽然macOS内置了基本防护，但专业的安全软件能提供更主动的保护，包括实时监控、恶意软件检测和防火墙功能。注意权限管理。当应用请求访问摄像头、麦克风、通讯录等敏感权限时，要像现实中有陌生人要你家的钥匙一样保持警惕。

Jamf的研究主管最后强调：“没有绝对安全的系统，只有不断进步的攻击者和需要保持警惕的用户。macOS的安全性仍然很高，但用户必须放弃‘绝对安全’的幻想，采取积极的防护措施。” 随着Mac在全球市场的持续扩张，针对macOS的攻击无疑会更加频繁和精密。这场攻防战中没有永恒的胜利者，只有不断升级的技术较量。