Хотели безопасный SSH — получили бэкдор. Проверьте Termius: китайцы подменили оригинал на macOS

Специалисты компании SentinelOne сообщили о выявлении новых следов активности вредоносного программного обеспечения ZuRu, нацеленном на пользователей macOS. Основной метод его распространения — подмена популярных приложений под управлением macOS , в частности — маскировка под Termius, кроссплатформенное средство управления SSH-подключениями.

Впервые упоминание о вредоносе ZuRu появилось ещё в сентябре 2021 года на китайском ресурсе Zhihu. Тогда зловред распространялся через поддельные сайты, которые подменяли результаты поиска по легитимному терминальному приложению iTerm2 и предлагали загрузить подставные установщики. В январе 2024 года команда Jamf Threat Labs обнаружила , что вредонос продолжил свою эволюцию, попадая на компьютеры с помощью взломанных версий Remote Desktop от Microsoft, SecureCRT и Navicat.

Согласно последнему отчёту SentinelOne, новая волна атак была зафиксирована в мае 2025 года. Вредонос распространялся через модифицированный образ .dmg, содержащий поддельную версию приложения Termius. Основной особенностью стало то, что в комплект Termius Helper.app были внедрены два исполняемых файла: «.localized» и «.Termius Helper1». Первый представляет собой загрузчик, предназначенный для скачивания и запуска управляющего маяка Khepri с удалённого сервера, а второй — подменённая версия оригинального помощника Termius.

Для обхода системной защиты macOS, злоумышленники удалили оригинальную цифровую подпись разработчика и заменили её на собственную временную подпись, что позволило пройти проверку на подлинность кода. Подход, использованный в этой модификации, отличается от предыдущих методов: если раньше использовалась подгрузка внешней динамической библиотеки (.dylib) в основной исполняемый файл, то теперь вредонос встраивается через вспомогательное приложение внутри легитимного пакета.

Загрузчик также реализует механизм постоянства: он проверяет наличие вредоносного кода по пути «/tmp/.fseventsd» и сравнивает хэш текущего файла с эталонным, размещённым на сервере. В случае несовпадения загрузка новой версии производится автоматически, что обеспечивает как обновление вредоноса, так и контроль целостности кода.

Khepri, использующийся как ядро вредоносной нагрузки, является мощным инструментом удалённого доступа. Он позволяет атакующим передавать и получать файлы, изучать характеристики системы, запускать произвольные процессы и фиксировать их результаты. Связь с управляющим сервером устанавливается через домен «ctl01.termius[.]fun», а первичная загрузка маяка идёт с «download.termius[.]info».

Команда SentinelOne подчёркивает, что выбор легитимных, популярных среди разработчиков и IT-специалистов приложений в качестве прикрытия остаётся излюбленной тактикой создателей ZuRu. Несмотря на смену техник внедрения и обхода защиты, сохраняются общие подходы: от шаблонов в доменных именах до специфических названий файлов и схем установки постоянства. Это свидетельствует о высокой эффективности таких атак в тех средах, где отсутствует надёжная защита конечных точек.