Wardle 將 VirusTotal 辨別為惡意程式的 GoSearch22 中,發現原生 M1 (arm64) 惡意代碼,可以確認程式為了讓程式原生支援 M1 處理器而作出針對性的部署。該程式由一名叫 Hongsheng Yan 的 Apple 開發者帳號,於去年 11 月 23 日簽注,現時該證書已經被 Apple 撤回,令用戶安裝程式會變得困難。由於有用戶曾經通過 Objective-See 的工具作出病毒報告,估計已經有 macOS 用戶的 MacBook Pro 或 Mac mini 受到感染。
在進一步研究後,Wardle 發現這款針對 Apple M1 的惡意程式,是一款相當普遍但陰險的 Pirrit 廣告軟件,會以 Safari 擴充程式作為包裝於受害人的電腦。GoSearch22 在 12 月 27 日首次現身,證明開發者有備而來,刻意針對新的 Apple 處理器。今次事件反映不法分子對 Apple 新硬件和軟件的反應相當快,而防毒軟件工具對於 arm64 代碼的分析能力仍相當有限,情況讓人憂慮。
資料來源:9to5mac