現在のところマルウェアとしての活動は開始していないが、3万台近いMacコンピューターに感染しているというマルウェア「Silver Sparrow」の情報をRed Canaryが発表し、実際の攻撃が始まる前に対策するよう呼び掛けている(Red Canaryのブログ記事、 Mac Rumorsの記事、 Mashableの記事、 The Vergeの記事)。

Silver Sparrowはバージョン1(updater.pkg)とバージョン2(update.pkg)の2つのインストールパッケージが見つかっており、バージョン1がx86_64アーキテクチャー(Intel Mac)向けにコンパイルされたMach-Oバイナリを含むのに対し、バージョン2はx86_64とM1の両アーキテクチャー向けにコンパイルされたMach-Oバイナリ(Universal 2バイナリ)を含む点が大きな違いだという。ただし、これらのバイナリに特別な機能はなく、バージョン1は「Hello, World!」と表示し、バージョン2は「You did it!」と表示するだけのものとのこと。

従来のmacOSマルウェアでみられなかった点として、実行にmacOSインストーラーのJavaScript API(Installer JS)を使用する点が挙げられている。Red CanaryはMalwarebytesおよびVMwareのCarbon Blackと協力して調査を進めており、Malwarebytesの調べによると2月17日時点で153か国で29,139台のmacOSエンドポイントが感染しているそうだ。特に米国・英国・カナダ・フランス・ドイツで感染数が多いという。

M1チップにネイティブ対応するマルウェアとしては、Silver Sparrowとは異なるマルウェアの発見をPatrick Wardle氏が先に報告している。Intel Mac用バイナリはRosetta 2による変換でM1 Macでもそのまま動作するが、Xcode 12を使用すればコードを変更することなくUniversal 2バイナリが作成できるため、今後増加していくとみられる。

現時点でSilver Sparrowが悪意あるペイロードをダウンロードする様子はないものの、将来を見据えたM1チップ互換性や世界での感染の広がりと感染数の多さ、運用の成熟性などを考慮して、Red Canaryでは大きな影響を与える可能性のある深刻な脅威とみなしている。これを受けてAppleは該当する開発者の署名を失効させており、公証機能などによりユーザーを保護できるとの考えを示しているとのことだ。