🌟 **新型Mac恶意软件JSCoreRunner的出现**：科技媒体9to5Mac报道，苹果设备管理与安全公司Mosyle发现了一款名为“JSCoreRunner”的新型Mac恶意软件。这款恶意软件通过伪装成PDF转换工具的网站fileripple[.]com进行传播，并且成功绕过了VirusTotal上的所有检测，表明其为一种零日攻击，能够逃避现有的安全防护措施。

🛡️ **双阶段感染与规避安全机制**：JSCoreRunner的感染过程分为两个阶段。第一阶段的安装包（FileRipple.pkg）看似正常，但在后台静默运行恶意代码。尽管其开发者证书已被吊销，macOS会阻止运行，但真正的恶意载荷隐藏在第二阶段的未签名安装包（Safari14.1.2MojaveAuto.pkg）中。未签名特性使其能够绕过macOS的Gatekeeper默认保护机制，从而更容易成功安装。

🎯 **主要目标与用户风险**：该恶意软件的主要攻击目标是劫持用户的Google Chrome浏览器。它会扫描Chrome的用户配置文件，修改搜索引擎模板，将用户的搜索和新标签页重定向到伪造的搜索服务。隐藏崩溃日志和“恢复上次会话”提示降低了用户被发现的风险。浏览器被劫持后，用户可能面临被引导至钓鱼网站、恶意广告或推广页面，进而可能遭遇键盘记录、数据窃取或财务诈骗等严重后果。

IT之家 8 月 28 日消息，科技媒体 9to5Mac 昨日（8 月 27 日）发布博文，报道称苹果设备管理与安全公司 Mosyle 报告了名为“JSCoreRunner”的新型 Mac 恶意软件，通过伪装成 PDF 转换工具的网站 fileripple [.] com 传播。

IT之家援引博文介绍，这款新型 Mac 恶意软件成功逃避了 VirusTotal 上的所有检测，属于零日攻击，能够绕过现有安全防护。攻击者通过虚假文件转换网站 fileripple [.] com，引诱用户下载伪装成 PDF 转换工具的程序，从而在用户不知情的情况下植入恶意代码。

该恶意软件采用双阶段感染模式。第一阶段的安装包名为 FileRipple.pkg，界面上会显示一个看似正常的 PDF 工具预览，实际上在后台静默运行恶意代码。虽然该包的开发者证书已被苹果吊销，macOS 会阻止运行，但真正的恶意载荷隐藏在第二阶段的 Safari14.1.2MojaveAuto.pkg 中。

第二阶段安装包未签名，因此可绕过 Gatekeeper 默认保护机制。执行后，它会先与远程命令控制服务器通信确认安装，然后去除隔离属性并设定主程序路径，完成系统感染。此过程完全在用户不知情的情况下进行，增加了检测难度。

JSCoreRunner 的主要目标是劫持用户的 Google Chrome 浏览器，会扫描~/Library/ Application Support / Google / Chrome/ 目录下的所有配置文件，包括默认和额外用户配置文件，修改搜索引擎模板，将搜索和新标签页重定向到伪造搜索服务。同时，它会隐藏崩溃日志及“恢复上次会话”提示，降低用户察觉风险。

一旦浏览器被劫持，用户可能被引导至钓鱼网站、恶意广告或推广结果页面，进而遭遇键盘记录、数据窃取或财务诈骗。Mosyle 提供了相关文件的哈希值，方便安全人员添加检测规则，并强调应采用多层安全策略与用户教育相结合的防御模式。