在傳統的資安威脅中，駭客大多經由電子郵件、檔案或網站在受害系統上安裝惡意程式。但是近來卻經常聽見一種稱為無檔案(或無文件)攻擊模式開始流行，無檔案式威脅有別傳統惡意程式，不會透過惡意軟體或執行檔來感染系統，而是利用系統內建的工具和應用程式來發動攻擊，也就是利用系統工具來攻擊系統。

因為是利用系統工具程式來攻擊，並沒有惡意程式，所以傳統的防毒軟體並無法偵測到，著名的VirusTotal上70幾套防毒引擎幾乎都無法偵測到此類攻擊，實在讓人不寒而慄。

這次由北韓駭客發展出來的Mac版無檔案攻擊程式手法是一種名為UnionCrypto的Mac木馬程式，由Lazarus Group所作，最新的攻擊是利用交易平台unioncrypto.vip經由UnionCrypoTrader.dmg（.dmg是macOS的映像檔格式）散佈，駭客利用指令開啟及安裝，啟動一個script，再建立開機服務（Launch Daemon），這個開機服務目的在重覆安裝二進位執行檔unioncryptoupdater，能在Mac電腦每次開機時都執行，接下來會開始蒐集OS版本及基本系統資訊，並聯絡外部伺服器以進入第二階段的下載。

還好，由於Unioncrypto.pkg並沒有簽章，會在執行時觸動MacOS而發出警告，所以使用Mac電腦的朋友在安裝程式或瀏灠網站時，遇要安裝無簽章程式的畫面，一定要加以拒絕，才不會讓惡意程式有機會入侵你的電腦。

 

詳文請見ithome 原文新聞稿