Análise da intrusão macOS do Sapphire Sleet: do chamariz ao comprometimento

A Microsoft Threat Intelligence detalhou uma campanha norte-coreana do Sapphire Sleet que utiliza um falso Zoom SDK Update.scpt, abusando do Editor de Scripts confiável do macOS e de uma cadeia encadeada de curl para osascript (user agents mac-cur1 a mac-cur5) para implantar backdoors como com.apple.cli, services, icloudz e com.google.chromes.updaters. O ataque coleta credenciais através de um diálogo falsificado do systemupdate.app. O ator manipula diretamente o TCC.db em nível de usuário, através do Acesso Total ao Disco do Finder, para conceder silenciosamente permissão de AppleEvents ao osascript. Em seguida, exfiltra sessões do Telegram, dados de extensões de carteiras do Chromium (Phantom, TronLink, Coinbase, OKX, Solflare, Rabby, Backpack e Sui), carteiras Ledger e Exodus, keychains, chaves SSH e Apple Notes para o endereço 104.145.210[.]107:8443. Para defesa, é recomendado bloquear a execução de .scpt vindos da internet, monitorar curl sendo direcionado para osascript/sh/bash com user-agent strings não-padrão, alertar sobre gravações em ~/Library/Application Support/com.apple.TCC/TCC.db e auditar /Library/LaunchDaemons para com.google.webkit.service.plist.