专精苹果设备管理的资安业者Jamf指出，他们在10月下旬，在上传到恶意程序分析平台VirusTotal的文件里，发现北韩黑客企图利用跨平台应用程序框架Flutter做为散布macOS恶意软件的管道，由于采用这款框架打造的应用程序会导致其代码变得更加复杂，而有可能让攻击者借此逃过各式资安防护机制的侦测。

研究人员在VirusTotal找到的恶意程序文件当中，发现这些文件存在攻击意图，但所有杀毒引擎皆将其视为无害，而且，这些恶意软件还带有签章，并通过苹果的公证进程。对于黑客的意图，他们表示目前仍不得而知，无法确定是否已被用于实际攻击行动，或是攻击者正在打造、测试新的恶意程序。

他们找到的恶意程序大致可分成3种类型，分别是使用Go语言开发的文件、通过Py2App创建的Python恶意程序，以及使用Flutter开发的应用程序。其中，又以使用Flutter开发的手法引起研究人员的兴趣，并指出想要这种方法打造的应用程序进行逆向工程，过程相当复杂。

什么是Flutter？这是Google开发的应用程序框架，目的是简化跨平台应用程序的开发，开发人员能借此让多个平台的应用程序维持一致。

然而，研究人员指出，由于以该框架创建的应用程序会产生独特的结构，导致代码变得难以解读，这是因为其代码运行的逻辑，是通过使用程序库Dylib当中包含的编程语言Dart进行处理，接着再使用Flutter引擎加载。

在其中一款名为New Updates in Crypto Exchange (2024-08-28).app恶意程序当中，攻击者在Flutter嵌入以Dart编写的有效酬载，并将其伪装成功能完整的踩地雷游戏。根据他们的分析，游戏的部分来自GitHub的开源项目，原本是专门为iOS操作系统开发，攻击者稍加修改并重新编译，使其能在macOS运作。

一旦用户启动该恶意程序，电脑就会向远程服务器发送请求，然后从攻击者的服务器下载AppleScript代码，并在向后写入之后，才会运行恶意程序。而根据黑客使用的远程服务器网域，研究人员推测很有可能是北韩黑客所为。

针对这批恶意程序的发现，研究人员认为，这些黑客很有可能正在测试更为强大的武器，由于这组人马擅长社交工程攻击，设置的文件名称与应用程序显示的内容却不一致，他们认为，对方的目的很有可能只是为了确认，在文件经过正常进程签章，并将恶意代码埋入Dylib代码的情况下，能否通过Apple公证服务器的审核，甚至是进一步避免资安业者察觉异状。

虽然无从得知攻击者是正在进行测试，还是已经准备投入攻击活动，但研究人员指出，这是他们首度看到有人利用Flutter针对macOS用户的情形。