IT之家2月21日訊息 外媒 MacRumors 報道，安全公司 Red Canary 發現了第二個已知的惡意軟體 “Silver Sparrow”（銀雀），它被編譯成原生執行在 M1 Mac 上。

鑑於 “Silver Sparrow”這個名字，據說這個惡意包利用 macOS Installer JavaScript API 執行可疑的命令。不過，在觀察該惡意軟體一週多之後，Red Canary 及其研究夥伴都沒有觀察到最終的有效資料，因此該惡意軟體所帶來的具體威脅仍然是個謎。

儘管如此，Red Canary 表示，

該惡意軟體可能是 “一個相當嚴重的威脅”

。

“雖然我們還沒有觀察到 Silver Sparrow 提供更多的惡意有效資料，但其前瞻性的 M1 晶片相容性、全球覆蓋範圍、相對較高的感染率和操作成熟度表明，Silver Sparrow 是一個相當嚴重的威脅，其獨特的定位可以在一瞬間提供潛在的有影響的有效威脅。”

IT之家獲悉，根據 Malwarebytes 提供的資料，截至 2 月 17 日，Silver Sparrow 已經感染了 153 個國家和地區的 29139 個 macOS 系統，其中包括 “美國、英國、加拿大、法國和德國的大量檢測”。Red Canary 沒有說明其中有多少系統是執行在 M1 Mac 裝置上。

鑑於 Silver Sparrow 二進位制檔案 “似乎還沒有那麼大的作用”，Red Canary 將其稱為 “旁觀者二進位制檔案 “”。當在基於英特爾的 Mac 上執行時，惡意包只是顯示了一個帶有 “Hello， World！”資訊的空白視窗，而蘋果 silicon 二進位制檔案則會導致一個紅色窗口出現，上面寫著 “You did it！”。

Red Canary 分享了檢測一系列 macOS 威脅的方法，但這些步驟並不是專門針對檢測 Silver Sparrow 的。

尋找一個似乎是 PlistBuddy 的程序，與包含以下內容的命令列一起執行：aunchAgents and RunAtLoad and true。 這個分析可以幫助我們找到多個 macOS 惡意軟體家族建立 LaunchAgent 的永續性。

尋找一個似乎是 sqlite3 的程序，該程序與以下命令列一起執行。LSQuarantine。 這個分析可以幫助我們找到多個 macOS 惡意軟體系列，操縱或搜尋下載檔案的元資料。

尋找一個似乎是 curl 執行程序，該程序的命令列包含：s3。amazonaws。com。 這個分析可以幫助我們找到多個使用 S3 buckets 進行分發的 macOS 惡意軟體家族。

第一款能夠在 M1 Mac 上原生執行的惡意軟體在幾天前才被發現。現在跡象表明，越來越多的惡意軟體開始盯上蘋果 M1 Mac 裝置。