macOS 惡意軟體 Reaper 劫持腳本編輯器，竊取 Ledger 和 Trezor 數據

一種名為 Reaper 的新型 macOS 惡意軟體透過偽裝微信和 Miro 的虛假下載頁面傳播，觸發系統內建的腳本編輯器，並隱藏惡意代碼。Reaper 針對 Ledger Live、Trezor Suite 和 Exodus 等桌面加密錢包，修改錢包內部代碼以攔截未來交易並重定向資金。

Reaper 的攻擊機制：腳本編輯器取代終端

Reaper 的技術特點是利用系統預裝的腳本編輯器，而非終端（Apple 近期 macOS 更新已修復終端相關漏洞）。攻擊流程：虛假下載網站透過 AppleScript applescript:// URL 觸發腳本編輯器；惡意代碼以 ASCII 字符和空格隱藏；用戶點擊播放按鈕後自動執行；隨即彈出偽造的 Apple 安全更新對話框，要求輸入電腦密碼。

Reaper 在竊取前會檢測系統鍵盤佈局——若配置為俄語，惡意軟體停止運作；否則啟動仿照 Atomic macOS Stealer（AMOS）的數據竊取模組。安全研究人員在基礎設施中發現了拼寫錯誤的仿微軟域名（mlcrosoft[.]co[.]com）。

攻擊目標和數據外洩範圍

Reaper 確認的攻擊目標範圍：

加密桌面錢包：Ledger Live、Trezor Suite、Exodus（修改內部代碼攔截交易）

瀏覽器憑證：Chrome、Firefox、Edge 中儲存的密碼；1Password 和 MetaMask 等瀏覽器擴充套件

文件類型：桌面和文件資料夾中的 .docx、.pdf、.xlsx、.wallet、.keys（壓縮成 70MB ZIP 塊並上傳至外部指令與控制伺服器）

持久化機制：安裝偽裝成 Google 軟體更新目錄的後門

常見問題

Reaper 惡意軟體的感染路徑是什麼？

根據 Cryptopolitan 和 Moonlock 的報告，Reaper 透過偽裝成微信和 Miro 的虛假下載頁面傳播，網站透過 AppleScript URL 自動觸發系統腳本編輯器，將隱藏的惡意代碼預載入其中；用戶點擊腳本編輯器的播放按鈕後執行攻擊，隨後偽造的 Apple 安全更新對話框誘導受害者輸入電腦密碼。

Reaper 如何修改加密錢包？

Reaper 針對 Ledger Live、Trezor Suite 和 Exodus 等桌面加密錢包應用，修改其內部程序代碼，使未來的加密貨幣交易在受害者不知情的情況下被攔截並重定向至攻擊者控制的地址。

macOS 用戶如何防範 Reaper？

安全專家建議：在安裝任何新程式前核實下載鏈接來源；在意外彈出的視窗中不輸入電腦密碼；若網站提示開啟腳本編輯器，立即關閉該標籤頁；使用能夠攔截混淆腳本的安全工具。