网络安全公司 ThreatFabric 于 5 月 29 日发布报告，发现了 macOS 版 LightSpy 监控框架，LightSpy 监控框架此前仅限于苹果 iOS 和谷歌安卓系统，是一款模块化的监控框架，用于窃取设备中的各种数据，包括文件、、位置数据、通话时的语音记录、支付的支付信息，以及 Telegram 和 QQ 的其它数据。

　　ThreatFabric 报告称至少在今年 1 月，发现了一例 macOS 植入攻击情况，表明已经有黑客利用该框架向苹果 Mac 设备发起攻击。

　　报告称 LightSpy 监控框架主要利用追踪编号为 CVE-2018-4233 和 CVE-2018-4404 的 WebKit 漏洞，在 Safari 浏览器中触发代码执行，主要针对 macOS 10.13.3 及更早版本。

　　简单介绍下该框架利用步骤如下：

　　第一阶段，一个伪装成 PNG 图像文件的 64 位 MachO 二进制文件被传送到设备上，解密并执行嵌入式脚本，获取第二阶段的内容。

　　第二阶段有效载荷会下载一个权限升级漏洞、一个加密 / 解密实用程序和一个 ZIP 压缩包，其中包含两个可执行文件。

　　最终，shell 脚本会对这些文件进行解密和解包，获得被入侵设备的 root 访问权限，并通过配置 更新 二进制文件在启动时运行，在系统中建立持久性。