獨立安全研究人員Patrick Wardle發現了第一個Apple Silicon M1 Mac原生的惡意軟件。前美國國家安全局研究員帕特里克-沃德爾（Patrick Wardle）最近對蘋果M1處理器的安全性大加讚賞，但即便如此，現在也發現了黑客為其重新編譯惡意軟件的證據。

Wardle發現了GoSearch22.app的存在，它是長期存在的Pirrit病毒的M1原生版本。這個版本似乎是為了顯示廣告和收集用戶瀏覽器的數據。

“今天我們證實，惡意對手確實在製作多架構應用，這樣他們的代碼就能原生運行在M1系統上，”Wardle在一篇博客文章中說。”惡意的GoSearch22應用程序可能是這種原生兼容M1代碼的第一個例子。這種應用程序的創建值得注意，主要有兩個原因，”他繼續說道。”毫不奇怪，這說明惡意代碼在繼續發展，直接響應蘋果推出的硬件和軟件變化。”

原生分發原生arm64二進製文件有無數的好處，惡意軟件作者沒有理由不這麼做，其次，更令人擔憂的是，由於架構較新，（靜態）分析工具或反病毒引擎可能難以檢測到它。

Wardle表示，目前一些可以發現英特爾版本Pirrit病毒的反病毒系統，都無法識別Apple Silicon M1版本。

目前蘋果已經撤銷了開發者證書，使其無法運行。Wardle表示，這意味著關於其分發的某些問題已經無法得到答案。

“不知道的是，蘋果是否對代碼進行了公證。”Wardle指出，這意味著開發者是否向蘋果提交了代碼，還是在繞過公司的安全問題。”我們無法回答這個問題，因為蘋果已經撤銷了證書。”

“我們知道的是，由於這個二進製程序已經在外部被檢測到……不管它是否經過認證，macOS用戶肯定有被感染了。”

希望了解更多細節可訪問研究人員博客：

https://objective-see.com/blog/blog_0x62.html