專精蘋果裝置管理的資安業者Jamf指出，他們在10月下旬，在上傳到惡意程式分析平臺VirusTotal的檔案裡，發現北韓駭客企圖利用跨平臺應用程式框架Flutter做為散佈macOS惡意軟體的管道，由於採用這款框架打造的應用程式會導致其程式碼變得更加複雜，而有可能讓攻擊者藉此逃過各式資安防護機制的偵測。

研究人員在VirusTotal找到的惡意程式檔案當中，發現這些檔案存在攻擊意圖，但所有防毒引擎皆將其視為無害，而且，這些惡意軟體還帶有簽章，並通過蘋果的公證程式。對於駭客的意圖，他們表示目前仍不得而知，無法確定是否已被用於實際攻擊行動，或是攻擊者正在打造、測試新的惡意程式。

他們找到的惡意程式大致可分成3種類型，分別是使用Go語言開發的檔案、透過Py2App建立的Python惡意程式，以及使用Flutter開發的應用程式。其中，又以使用Flutter開發的手法引起研究人員的興趣，並指出想要這種方法打造的應用程式進行逆向工程，過程相當複雜。

什麼是Flutter？這是Google開發的應用程式框架，目的是簡化跨平臺應用程式的開發，開發人員能藉此讓多個平臺的應用程式維持一致。

然而，研究人員指出，由於以該框架建立的應用程式會產生獨特的結構，導致程式碼變得難以解讀，這是因為其程式碼執行的邏輯，是透過使用程式庫Dylib當中包含的程式語言Dart進行處理，接著再使用Flutter引擎載入。

在其中一款名為New Updates in Crypto Exchange (2024-08-28).app惡意程式當中，攻擊者在Flutter嵌入以Dart編寫的有效酬載，並將其偽裝成功能完整的踩地雷遊戲。根據他們的分析，遊戲的部分來自GitHub的開源專案，原本是專門為iOS作業系統開發，攻擊者稍加修改並重新編譯，使其能在macOS運作。

一旦使用者啟動該惡意程式，電腦就會向遠端伺服器發送請求，然後從攻擊者的伺服器下載AppleScript程式碼，並在向後寫入之後，才會執行惡意程式。而根據駭客使用的遠端伺服器網域，研究人員推測很有可能是北韓駭客所為。

針對這批惡意程式的發現，研究人員認為，這些駭客很有可能正在測試更為強大的武器，由於這組人馬擅長社交工程攻擊，設置的檔案名稱與應用程式顯示的內容卻不一致，他們認為，對方的目的很有可能只是為了確認，在檔案經過正常程式簽章，並將惡意程式碼埋入Dylib程式碼的情況下，能否通過Apple公證伺服器的審核，甚至是進一步避免資安業者察覺異狀。

雖然無從得知攻擊者是正在進行測試，還是已經準備投入攻擊活動，但研究人員指出，這是他們首度看到有人利用Flutter針對macOS用戶的情形。