事件经过
SentinelLabs 于 2026-06-23 披露了 macOS.Gaslight,这是一个归属于 DPRK 的 Rust 植入物,于 5 月 22 日上传到 VirusTotal,仅被 Apple XProtect 捕获 (不是静态 AV 引擎)。其新颖特征:嵌入在二进制文件中的 38 个堆叠虚假 LLM 系统消息,设计用于通过模拟灾难性工具故障使 AI 分类工具中止分析。注入之后是完整的信息窃取程序,目标是 Chrome、Brave、Firefox、Safari、macOS 登录钥匙串和终端历史记录,具有通过固定 Telegram 频道的交互式操作员 shell。
影响分析
这是首个公开记录的在野恶意软件样本,利用提示注入不是针对最终用户,而是针对 AI 安全工具本身 — 对 AI 辅助防御者工作流的直接攻击。随着 LLM 分类工具成为 SOC 操作中的标准,对手将嵌入更多此类规避级联。DPRK 归属将此与 Mastra npm 供应链攻击背后的同一行为体联系起来。
攻击途径
macOS 植入物嵌入 38 个虚假系统故障消息 (虚假令牌过期、内存错误、注入警告),格式化为模仿 AI 分类工具脚手架的 Markdown 围栏块;当 LLM 辅助分析工具摄入二进制文件时,注入的消息将模型推向中止或拒绝分析。另外,C2 通过 Telegram Bot API 运行,使用 AES-GCM 加密和证书固定。
受影响系统
AI 辅助恶意软件分类工具和基于 LLM 的安全分析管道 (任何将恶意软件二进制内容输入到 LLM 进行分析的工具)
缓解措施
将所有恶意软件二进制内容视为对抗性输入 — 不要直接将原始二进制字符串或嵌入文本传递到 LLM 提示中而不进行消毒。IOC 和完整分析:https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/。Apple XProtect 规则:MACOS_BONZAI_COBUCH。