Phát hiện biến thể mới của malware macOS “ZuRu” giả mạo ứng dụng Termius để backdoor thiết bị

Malware ZuRu tái xuất dưới dạng Termius giả mạo, âm thầm cài backdoor trên macOS – lập trình viên cần cực kỳ cảnh giác trong lựa chọn phần mềm.

Một biến thể mới của malware ZuRu trên macOS được các nhà nghiên cứu phát hiện trong tháng 7/2025. Lần này, hacker đóng gói mã độc vào ứng dụng Termius – công cụ SSH phổ biến dành cho lập trình viên và kỹ sư. Khi người dùng tải file .dmg chứa Termius giả, phần mềm thật vẫn chạy, nhưng kèm theo đó là gói loader ẩn bên trong ứng dụng helper.

Loader này dùng framework Khepri để kết nối đến máy chủ điều khiển C2, thiết lập quyền truy cập kéo dài (persistence), kiểm tra cập nhật, và thực thi các lệnh từ xa. Ứng dụng giả được ký mã bằng chữ ký ad-hoc để vượt qua Gatekeeper, khiến hệ thống tin tưởng và cho phép chạy.

Cách thức hoạt động của malware

1. Cài Termius từ nguồn không chính thức (.dmg giả mạo).

2. Loader “.localized” kích hoạt Khepri để nối về C2.

3. Tải payload mới nếu hash khác hoặc phiên bản cũ.

4. Cài backdoor để truy xuất file, thực thi mã, duy trì truy cập và gửi dữ liệu về hacker.

Một số phiên bản trước của ZuRu được đóng gói vào app như SecureCRT, Navicat và Microsoft Remote Desktop for Mac.

Giải pháp bảo mật cho lập trình viên và tổ chức

1. Chỉ tải phần mềm từ nguồn chính thức
   Chỉ dùng Termius hoặc bất kỳ ứng dụng chuyên nghiệp nào từ app store hoặc trang web chính hãng — tuyệt đối không dùng file .dmg mập mờ.

2. Kiểm tra chữ ký mã và nguồn tải
   Xác thực fingerprint hoặc signature của file cài đặt; chặn các ứng dụng với chữ ký ad-hoc hoặc thay đổi không xác minh.

3. Giám sát hoạt động bất thường
   Dùng EDR hoặc phần mềm endpoint protection để phát hiện tiến trình lạ gọi đến máy chủ C2, các file mới ở helper hoặc loader không quen thuộc.

4. Thiết lập policy chặn ứng dụng ngoại lệ
   Dùng MDM để chặn ứng dụng chưa được ký hoặc không nằm trong danh sách trắng; đảm bảo thấp nhất quyền chạy từ helper hay loader.

5. Đào tạo lập trình viên về supply-chain risk
   Nâng cao nhận thức: bất kể ứng dụng nổi tiếng đến đâu, chỉ dùng chính hãng và tuân thủ quy trình kiểm chứng phần mềm.

6. Theo dõi cập nhật bảo mật của SentinelOne, Apple
   Luôn theo dõi cảnh báo từ các nhà bảo mật và cập nhật phần mềm để đảm bảo các lỗ hổng phổ biến được vá kịp thời.

Biến thể mới của ZuRu là minh chứng rõ ràng cho việc hacker tấn công qua chuỗi cung ứng phần mềm trên nền tảng macOS. Việc chỉ tải từ nguồn đáng tin cậy, xác minh chữ ký, giám sát máy chủ và giới hạn nguồn tải là chiến lược thiết yếu để bảo vệ hệ thống phát triển khỏi backdoor nguy hiểm.

Hương - Theo TheHackerNews