Mac 也會被駭嗎？macOS 近年重大資安威脅整理

怎麼樣都打不破的迷思

「Mac 不會中毒。」

這個觀念從個人電腦的早期就存在了——當 Windows 電腦被惡意軟體淹沒的時候，Mac 看起來完全不受影響。這個說法有一定的道理——Mac 較低的市佔率讓它成為較不吸引人的攻擊目標，而 macOS 的 Unix 基礎確實提供了真正的安全優勢。

但整個環境已經劇烈改變。Mac 的企業市佔率持續成長。攻擊者跟著來了。今天 macOS 面臨的威脅比大多數 Mac 使用者認知的更精密、更有針對性、也更頻繁。

為什麼 Mac 正成為更大的目標

市佔率在成長

Mac 在企業端點中的佔比持續增加。更多 Mac 出現在企業環境中，代表更多有價值的目標——這些電腦連接著公司資料、原始碼、客戶資料庫和財務系統。

攻擊者去有價值的地方

個人 Mac 使用者對精密的威脅者來說從來不是特別有吸引力的目標。但企業 Mac 使用者——能存取生產系統的工程師、握有機密資訊的高階主管、有銀行存取權限的財務團隊——絕對是。

「不需要防毒」的信念對攻擊者有利

當一個組織因為「Mac 很安全」而不監控 Mac 機隊時，這些電腦就變成阻力最小的入侵路徑。攻擊者知道這一點。

macOS 的真實威脅：實際發生過什麼事

macOS 專屬惡意軟體是真的，而且在增加

Silver Sparrow（2021）：在 153 個國家、將近 30,000 台 Mac 上被發現。Silver Sparrow 是最早原生支援 Apple Silicon（M1）的惡意軟體之一。它透過惡意安裝包散佈，能夠遠端執行指令。值得注意的是：它專門為最新的 Mac 硬體設計，顯示攻擊者正在積極投資 macOS 的攻擊能力。

Shlayer（2019–2023）：連續好幾年都是最普遍的 macOS 惡意軟體家族。偽裝成 Adobe Flash 更新或其他看起來合法的安裝程式，Shlayer 透過社交工程繞過 Gatekeeper——說服使用者按右鍵打開，手動覆蓋 macOS 的保護機制。它安裝廣告程式和不需要的軟體，劫持瀏覽器並收集資料。

XCSSET（2020–2022）：一個特別陰險的威脅，專門鎖定 Mac 開發者。XCSSET 感染 Xcode 專案——用來開發 Mac 和 iOS App 的 IDE。當開發者打開被感染的專案，惡意軟體就會啟動，竊取瀏覽器 Cookie、Safari 資料，甚至修改 Safari 本身。它利用了多個 macOS 的零日漏洞。

MacStealer（2023）：一個在 Telegram 上以服務形式販售的資訊竊取惡意軟體。鎖定 macOS Catalina 及以上版本，竊取 iCloud 鑰匙圈密碼、信用卡資料、加密貨幣錢包和瀏覽器憑證。值得注意的是它的入門門檻極低——任何人都能購買使用權並部署。

零日漏洞定期被發現

Apple 定期修補 macOS 的零日漏洞——有時候是標註「已被積極利用」的緊急更新。近年來：

• 多個 WebKit 漏洞允許透過惡意網頁內容遠端執行程式碼
• 核心漏洞讓攻擊者取得最高層級的系統存取權限
• 安全框架被繞過，讓惡意軟體可以在不觸發 Gatekeeper 或 XProtect 的情況下執行

當 Apple 發布緊急安全更新，並註明「Apple 已知曉此問題可能已被積極利用」，那代表已經有人在用這個漏洞攻擊真實的 Mac 了。

供應鏈攻擊鎖定開發流程

現代軟體開發仰賴成千上萬的相依套件。只要攻陷一個熱門的函式庫或工具，就能感染所有使用它的應用程式——包括在 Mac 上建置的。

• 在 npm、PyPI 和 Homebrew 套件中發現過含有 macOS 特定惡意程式碼的套件
• 開發工具和 IDE 外掛被植入木馬，鎖定 Mac 開發環境
• 當 Mac 建置伺服器沒有被妥善保護時，建置流程本身就成了攻擊途徑

商業間諜軟體鎖定高價值人士

國家級間諜軟體如 Pegasus 和 Predator 已被記錄到鎖定 iOS 和 macOS 使用者。雖然這些工具主要針對記者、社運人士和企業高階主管，但它們證明了 Apple 平台並非對最精密的攻擊免疫。

Apple 以 Lockdown Mode（鎖定模式）和威脅通知作為回應，等於承認即使是 Apple 的平台也面臨進階持續性威脅。

這對企業代表什麼

「Mac 不會中毒」不再是站得住腳的立場

證據很清楚：macOS 面臨真實的、活躍的、持續成長的威脅。任何把 Mac 排除在端點防護之外的資安策略，都是刻意留下已知的破口。

Mac 資安需要 Mac 專屬的工具

為 Windows 設計再改裝到 Mac 上的通用資安工具，會漏掉 macOS 特有的攻擊方式，而且經常造成相容性問題。有效的 Mac 端點防護需要從系統層級理解 macOS。

可見度是第一步

你看不到的東西就保護不了。如果你的組織有 Mac 但沒有端點監控，你根本無從得知它們是否已經被入侵了。

修補管理很重要

當 Apple 為正在被積極利用的漏洞發布緊急安全更新，你的 Mac 多快會更新？如果答案是「等使用者自己有空再說」，那你是在選擇讓這扇門一直開著。

你可以做什麼

1. 承認現實：Mac 是真正的攻擊目標，據此規劃
2. 部署 Mac 原生的端點防護：使用為 macOS 設計的工具，如 Jamf Protect，利用 Apple 的 Endpoint Security 框架
3. 建立可見度：用跟監控 Windows 端點相同的方式監控你的 Mac 機隊
4. 自動化修補管理：確保 macOS 安全更新能即時套用到整個機隊
5. 教育使用者：相信自己不會被攻擊的 Mac 使用者，更不容易遵循資安最佳實務

可立可：協助企業保護 Mac 機隊

作為 Jamf MSP 合作夥伴，可立可協助組織從「Mac 很安全」升級到「我們的 Mac 有被保護」：

• 部署 Jamf Protect，提供即時 macOS 威脅偵測
• 在你的 Mac 機隊上建立合規基準
• 將 Mac 安全事件整合到你現有的 SIEM 和 SOC 流程
• 導入自動化修補管理，縮短漏洞暴露的時間

「Mac 不會被駭」的迷思已經被推翻了。問題是你的組織打算怎麼因應。