Jamf威胁实验室的网络安全研究人员发现了一种针对macOS用户的新恶意软件。

该恶意软件虽然未命名，但与2021年发现的另一款名为ZuRu的恶意代码有许多相似之处。

研究人员在一份详细报告中表示，该恶意软件被发现隐藏在三个独立的盗版软件中。该软件(包括微软远程桌面)是在一个中文网站上发现的，该网站提供了不同盗版应用程序的链接。

如果用户下载并运行任何受感染的应用程序，恶意软件将在后台下载并执行多个有效负载。这些有效负载都承担着不同的任务，从充当植入程序，到成为后门，再到作为持久下载程序来传递额外的恶意有效负载。

早在2021年，来自Objective-See和TrendMicro的网络安全研究人员就观察到ZuRu隐藏在iTerm、SecureCRT、NavicatPremium和远程桌面客户端等盗版应用程序中。下载这些应用程序的人发现它们按预期工作，但没有注意到Python脚本正在后台执行。

该脚本从受害者端点窃取敏感数据并将其发送到攻击者使用的命令和控制(C2)服务器。