朝鲜黑客以其大胆的网络攻击而闻名，这些攻击主要是为了窃取资金，以资助朝鲜实现其目标并逃避经济制裁。 Jamf的研究人员在macOS上发现了一些暗中传播的恶意软件，这些恶意软件似乎与朝鲜黑客有关。

他们在 VirusTotal（一个用于检查文件是否存在恶意软件的网站）上发现了该恶意软件，但奇怪的是，该恶意软件被列为"干净"。 该恶意软件有三个版本：一个用 Go 编写，另一个用 Python 编写，第三个使用 Flutter 编写。

Flutter是 Google 的开源框架，以允许开发人员通过 Dart 中的单一代码库为 iOS、Android 等平台构建应用程序而著称。 Flutter 因其跨平台的便捷性而广受欢迎，但它的设计也使其成为攻击者梦寐以求的工具，因为它的代码结构使分析变得非常棘手。 这意味着黑客可以更容易地潜入恶意代码，而不会立即引起注意。

在这种情况下，恶意软件假装是一个直接从 GitHub 克隆的简单扫雷游戏，恶意软件载荷隐藏在一个 dylib 文件中。 这些隐藏代码试图连接到位于 mbupdate[.]linkpc[.]net 的命令与控制 (C2) 服务器，该域与以前的朝鲜恶意软件有链接。 幸运的是，当 Jamf 发现该服务器时，它并没有活动，只给出了"404 Not Found"（未找到）的错误信息，因此攻击并没有完全展开。 不过，这个恶意软件很狡猾，最初通过了苹果公司的公证程序，这意味着 macOS 安全系统认为它是安全的。

这种特殊设计的恶意软件还有一个特别有趣的技巧：它被设置为执行服务器发送的 AppleScript 命令，甚至反向运行以避免被发现。 在 Jamf 的测试中，他们证实恶意软件可以远程运行 C2 服务器发送的任何 AppleScript 命令，如果攻击是实时的，黑客就可以实现完全控制。

目前看来，这可能只是一次黑客攻击试水。 Jamf 怀疑这些黑客正在试验如何让恶意软件躲过苹果的防御。 Flutter 本身没有恶意，但它有助于隐藏代码细节。 这提醒我们，攻击者正在变得越来越聪明，他们以新的方式利用普通的开发者工具来掩盖自己的意图。