Згідно з Jamf Threat Labs, у четвер компанія з кібербезпеки виявила фейкову версію менеджера буфера обміну Maccy, яка доставляє нове Rust-базоване шкідливе ПЗ під назвою PamStealer. Зловмисний застосунок поширюється через вебсайт-клон, який містить файл AppleScript. Під час виконання цей файл збирає паролі користувачів та ключі криптогаманців, перевіряючи облікові дані через модулі автентифікації macOS Pluggable Authentication Modules (PAM).
Після встановлення шкідливе ПЗ використовує JavaScript для автоматизації та рідні macOS API, щоб завантажити другу стадію шкідливого навантаження, призначену для Mac на Apple Silicon. Воно може красти облікові дані браузера та дані зв'язки ключів (Keychain), відстежувати вміст буфера обміну, забезпечувати постійність і запитувати повний доступ до диска (Full Disk Access) для доступу до захищених файлів, зокрема резервних копій Mail, Messages і Time Machine. Jamf не виявила активних кампаній PamStealer на сьогодні, але повідомила Apple про свої знахідки.