2025 年苹果 Mac 安全报告：信息窃取恶意软件激增 28%，成为头号威胁

每年，苹果设备管理平台 Jamf 都会发布其《安全 360 ：年度趋势报告》，该报告对企业和用户目前面临的 macOS 威胁态势进行了全面展望。这份分析报告基于从 90 个国家的 140 万台安装了 Jamf 软件的 Mac 电脑中收集的匿名真实数据。

今日，Jamf 发布了 2025 年版的报告，涵盖了过去 12 个月的数据。报告揭示了许多令人震惊的信息，其中最引人注目的是信息窃取恶意软件（infostealer malware）激增 28%，使其成为 Mac 平台上占主导地位的恶意软件类型。

附报告主要发现：

32% 的组织至少有一台设备存在关键（且可修补）漏洞。

Jamf 在过去一年中识别出大约 1000 万次网络钓鱼攻击，其中 15 万到 20 万次被归类为零日攻击。

25% 的组织受到社会工程学攻击的影响。

信息窃取恶意软件持续流行，成为 Mac 恶意软件家族中排名第一的类型，占所有检测到的 Mac 恶意软件的 28.36%。

每 10 名用户中就有 1 人点击了恶意网络钓鱼链接。

超过 90% 的网络攻击源自网络钓鱼

“曾经被视为创意人士和高管专属的设备，如今正越来越多地融入工程师等更多人群的日常工作。但随着其在工作中的持续整合，它也成为攻击者眼中更大的攻击目标。”Jamf 威胁实验室总监 Jaron Bradley 表示。

长期以来，人们一直存在一种误解，认为 Mac 电脑不会感染恶意软件。这种观点可能在 2000 年代初还成立，但如今显然不是这样。Mac 电脑数量的不断增加，使其成为攻击者的关注焦点。尽管苹果通过 XProtect 提供了强大的内置系统安全机制，但企业和个人 Mac 用户仍然以创纪录的速度成为受害者。Jamf 今天的报告突出了哪些类型的恶意软件正在造成最大的破坏。

这是 Jamf 用户首次发现信息窃取恶意软件超越广告软件，成为最常见的恶意软件类型。信息窃取恶意软件的增长率达到 28.08%，占所有分析恶意软件样本的 28.36%。

一旦感染，该恶意软件会在 Mac 与攻击者的命令与控制（C2）服务器之间建立连接，窃取敏感数据，如 iCloud 钥匙串凭证。它还被发现会悄悄安装远程桌面应用程序 AnyDesk 和键盘记录软件，以接管设备并收集按键记录。信息窃取恶意软件通常还会针对网络浏览器，窃取密码和加密货币钱包密钥等凭证。

信息窃取恶意软件之所以难以被发现，是因为它们可以像 VirusTotal 这样的杀毒软件扫描器一样悄无声息地通过检测。网络犯罪分子通常会将可执行文件上传到 VirusTotal 等平台，以确保恶意行为隐藏得足够好，从而避免被流行的扫描器检测到。

近年来，信息窃取恶意软件的流行度急剧上升，部分原因是它们易于获取且入门门槛低。例如，地下犯罪团伙越来越多地开展“恶意软件即服务”（Malware-as-a-Service，简称 MaaS）业务。在这种模式下，恶意软件开发者创建并维护像信息窃取恶意软件这样的工具，并将其出租给技术能力较低的附属机构（affiliates）。这些附属机构获得现成的恶意软件套餐，可以随意针对他们想要攻击的目标。

其他促成因素还包括与勒索软件等攻击相比，信息窃取恶意软件能够快速获得可观的收益，而勒索软件可能需要数周甚至数月才能让网络犯罪分子看到回报。

有趣的是，Jamf 的报告特别提到了 PyInstaller 的滥用。PyInstaller 是一个合法的开源工具，开发者用它将 Python 脚本打包成独立的可执行文件。如今，攻击者开始利用它将恶意 Python 脚本秘密打包，然后发送给潜在受害者在其设备上执行。

苹果在每台 Mac 电脑上预装了许多有价值的后台服务，以保护用户免受互联网上潜在威胁的侵害，但这些措施往往还不够。

如何防范信息窃取恶意软件

在安装任何非官方 Mac 应用商店的应用程序之前，务必进行充分的调查。

在打开链接之前，将鼠标悬停在链接上进行确认。

使用强密码和复杂的密码组合，并启用双因素身份验证（如果可能的话，避免使用短信验证，优先选择一次性密码（OTP））。

在 Mac 上授予权限时要格外谨慎。

保持设备和应用程序的更新。