В последние дни уходящего 2025 года эксперты по кибербезопасности вновь заговорили о критической уязвимости в экосистеме Apple. Специалисты лаборатории Jamf Threat Labs опубликовали отчёт об обнаружении новой, пугающе продвинутой версии трояна MacSync Stealer. Главная опасность находки заключается не в её функциональности, а в способе маскировки: вредоносная программа была официально нотаризована самой Apple и имела действительную цифровую подпись разработчика (Developer ID).
Для рядового пользователя это означает одно: хвалёная система защиты Gatekeeper, призванная блокировать подозрительный софт, восприняла вирус как легитимное и безопасное приложение, позволив ему беспрепятственно запуститься на компьютере жертвы.
Кризис модели доверия
Традиционная философия безопасности Apple строилась на жёстком контроле. Чтобы приложение, распространяемое вне официального Mac App Store, могло запуститься на macOS без танцев с бубном, разработчик обязан подписать его криптографическим сертификатом и отправить на нотаризацию — автоматическую проверку на серверах Apple.
Эта модель работала годами, базируясь на аксиоме: наличие подписи подтверждает добрые намерения автора. Однако события последних месяцев показывают, что злоумышленники успешно взломали эту логику. Теперь хакеры не просто пишут вирусы, они действуют как легальные софтверные компании: приобретают настоящие сертификаты разработчиков и выпускают вредоносное ПО, которое на этапе установки ничем не отличается от полезных утилит.
Механика обмана
По данным инсайдеров и экспертов отрасли, киберпреступники используют комбинированную тактику, которая превращает процесс проверки Apple в фикцию.
- «Чистые» сертификаты. Для подписи приложений используются Developer ID, которые либо были украдены у добросовестных разработчиков, либо куплены на теневых форумах специально для проведения атак. Это снижает уровень подозрительности системы до минимума.
- Троянский конь. Как показал анализ нового штамма MacSync Stealer, злоумышленники отправляют на нотаризацию в Apple «пустышку». Исходный файл — это простейшее приложение, написанное на Swift. При статическом анализе сканеры Apple не находят в нём ничего предосудительного, так как вредоносного кода там попросту нет.
- Отложенная атака. Настоящая активность начинается уже после запуска на компьютере пользователя. Программа связывается с удалённым сервером и подгружает вредоносные модули прямо в оперативную память. Поскольку нотаризация проверяет только то, что было подано на вход, а не то, что приложение скачает из сети спустя неделю, защита Apple оказывается бессильной.
Эволюция угрозы
Проблема не нова, но её масштаб растёт. Первые случаи появления нотаризованного вредоносного ПО были зафиксированы ещё в 2020 году. В июле 2025 года произошёл очередной громкий инцидент с подписанным вирусом. И хотя пока рано говорить о том, что ситуация достигла точки кипения, тенденция очевидна: атаки становятся сложнее и профессиональнее.
Впрочем, возлагать всю вину исключительно на Apple было бы упрощением. Система работает именно так, как была спроектирована: подпись и нотаризация никогда не гарантировали, что программа будет безопасной вечно. Их главная цель — обеспечить прослеживаемость. Если приложение начинает вести себя злонамеренно, Apple может отследить сертификат и аннулировать его, «убив» вирус на всех устройствах постфактум.
Однако для конкретного пользователя, чьи данные уже утекли в сеть, возможность постфактум наказать разработчика — слабое утешение. Этот вектор атак остаётся одним из самых интригующих и опасных вызовов, с которым индустрии предстоит бороться в наступающем 2026 году.
Главный совет экспертов остаётся неизменным: наличие галочки от Apple больше не является индульгенцией. Единственный надёжный способ защиты — скачивать программное обеспечение исключительно из Mac App Store или с сайтов разработчиков, чья репутация не вызывает сомнений.