macOS の悪意あるマルウェア「Reaper」は、ハイジャック用のスクリプトエディターで、Ledger と Trezor のデータを盗みます

Reaper という種類の新型 macOS 悪意ソフトは、偽の WeChat と Miro のダウンロードページを装って拡散し、システムに内蔵されたスクリプトエディタを起動して、悪意のあるコードを隠します。Reaper は Ledger Live、Trezor Suite、Exodus などのデスクトップ暗号ウォレットを対象にし、ウォレット内部のコードを改変して、将来の取引を妨害し資金をリダイレクトします。

Reaper の攻撃メカニズム：スクリプトエディタが（終端ではなく）担う

Reaper の技術的特徴は、ターミナルではなく、システムにあらかじめ用意されたスクリプトエディタを利用する点にあります（Apple は最近の macOS 更新でターミナル関連の脆弱性を修正済みです）。攻撃手順：偽のダウンロードサイトが AppleScript の applescript:// URL を介してスクリプトエディタを起動します；悪意のあるコードは ASCII 文字と空白で隠されます；ユーザーが再生ボタンをクリックすると自動実行されます；直後に偽造された Apple のセキュリティ更新ダイアログが表示され、コンピュータのパスワードの入力を求めます。

Reaper は盗み取る前に、システムのキーボード配列を検査します——設定がロシア語の場合、悪意のあるソフトは動作を停止します；そうでなければ、Atomic macOS Stealer（AMOS）のデータ窃取モジュールを模倣して起動します。セキュリティ研究者は、基盤インフラの中でスペルミスのある仮想的な Microsoft ドメイン（mlcrosoft[.]co[.]com）を発見しました。

攻撃対象とデータ漏洩の範囲

Reaper が確認した攻撃対象の範囲：

暗号のデスクトップウォレット：Ledger Live、Trezor Suite、Exodus（内部コードを改変して取引を遮断）

ブラウザの認証情報：Chrome、Firefox、Edge に保存されたパスワード；1Password と MetaMask などのブラウザ拡張機能

ファイル種別：デスクトップおよびファイルフォルダ内の .docx、.pdf、.xlsx、.wallet、.keys（70MB の ZIP ブロックに圧縮し、外部の指令・制御サーバーへアップロード）

永続化メカニズム：Google ソフトの更新ディレクトリを装うバックドアのインストール

よくある質問

Reaper の悪意ソフトの感染経路は何ですか？

Cryptopolitan と Moonlock の報告によると、Reaper は WeChat と Miro を装った偽のダウンロードページを通じて拡散します。サイトは AppleScript URL によりシステムのスクリプトエディタを自動的に起動し、そこに隠された悪意のあるコードを事前読み込みします；ユーザーがスクリプトエディタの再生ボタンをクリックすると攻撃が実行され、続いて偽造された Apple のセキュリティ更新ダイアログが被害者にコンピュータのパスワード入力を促します。

Reaper は暗号ウォレットをどのように改変しますか？

Reaper は Ledger Live、Trezor Suite、Exodus などのデスクトップ暗号ウォレットアプリを対象にし、その内部プログラムコードを改変します。その結果、被害者が知らないうちに、将来の暗号通貨取引が遮断され、攻撃者が管理するアドレスへリダイレクトされます。

macOS ユーザーは Reaper からどうやって防御できますか？

セキュリティ専門家は次の対策を推奨しています：新しいプログラムをインストールする前に、ダウンロードリンクの出所を確認する；不意に表示されるウィンドウでコンピュータのパスワードを入力しない；サイトがスクリプトエディタの有効化を求めたら、直ちにそのタブを閉じる；難読化されたスクリプトを遮断できるセキュリティツールを使用する。