macOS 恶意软件 Reaper 劫持脚本编辑器，窃取 Ledger 和 Trezor 数据

一种名为 Reaper 的新型 macOS 恶意软件通过伪装微信和 Miro 的虚假下载页面传播，触发系统内置的脚本编辑器，并隐藏恶意代码。Reaper 针对 Ledger Live、Trezor Suite 和 Exodus 等桌面加密钱包，修改钱包内部代码以拦截未来交易并重定向资金。

Reaper 的攻击机制：脚本编辑器取代终端

Reaper 的技术特点是利用系统预装的脚本编辑器，而非终端（Apple 近期 macOS 更新已修复终端相关漏洞）。攻击流程：虚假下载网站通过 AppleScript applescript:// URL 触发脚本编辑器；恶意代码以 ASCII 字符和空格隐藏；用户点击播放按钮后自动执行；随即弹出伪造的 Apple 安全更新对话框，要求输入电脑密码。

Reaper 在窃取前会检测系统键盘布局——若配置为俄语，恶意软件停止运行；否则启动仿照 Atomic macOS Stealer（AMOS）的数据窃取模块。安全研究人员在基础设施中发现了拼写错误的仿微微软域名（mlcrosoft[.]co[.]com）。

攻击目标和数据泄露范围

Reaper 确认的攻击目标范围：

加密桌面钱包：Ledger Live、Trezor Suite、Exodus（修改内部代码拦截交易）

浏览器凭证：Chrome、Firefox、Edge 中存储的密码；1Password 和 MetaMask 等浏览器扩展

文件类型：桌面和文件文件夹中的 .docx、.pdf、.xlsx、.wallet、.keys（压缩成 70MB ZIP 块并上传至外部指令与控制服务器）

持久化机制：安装伪装成 Google 软件更新目录的后门

常见问题

Reaper 恶意软件的感染路径是什么？

根据 Cryptopolitan 和 Moonlock 的报告，Reaper 通过伪装成微信和 Miro 的虚假下载页面传播，网站通过 AppleScript URL 自动触发系统脚本编辑器，将隐藏的恶意代码预载入其中；用户点击脚本编辑器的播放按钮后执行攻击，随后伪造的 Apple 安全更新对话框诱导受害者输入电脑密码。

Reaper 如何修改加密钱包？

Reaper 针对 Ledger Live、Trezor Suite 和 Exodus 等桌面加密钱包应用，修改其内部程序代码，使未来的加密货币交易在受害者不知情的情况下被拦截并重定向至攻击者控制的地址。

macOS 用户如何防范 Reaper？

安全专家建议：在安装任何新程序前核实下载链接来源；在意外弹出的窗口中不输入电脑密码；若网站提示开启脚本编辑器，立即关闭该标签页；使用能够拦截混淆脚本的安全工具。