根據Malwarebytes實驗室所報告，使用開源XMRig礦工和EmPyre後門實用程式來攻擊軟體盜版者已經觀察到一種稍微奇怪的惡意軟體毒株。

這款OSX.DarthMiner惡意軟體被設計成模仿用來盜版各種Adobe應用程式的Adobe Zii工具，儘管它沒有複製自己的圖示，而是綁定了一個引人注目的Automator小應用程式圖示，這有可能讓許多人產生錯覺。

在感染的下一步中，在受感染的系統上下載並啟動能夠執行任意命令的後門指令碼之後，惡意軟體確保在重新啟動之間在名為com.proxy. initializer .plist的啟動代理的幫助下獲得永續性。

接下來，將XMRig加密器與配置檔案一起下載到/Users/Shared/資料夾中，並設定一個名為com.apple.rig.plist的新啟動代理，以確保加密器始終使用惡意軟體的作者挖掘配置。

除了密碼學之外，DarthMiner還可能有其他類似惡意軟體的行為

即使是OSX.DarthMiner惡意軟體乍一看似乎是無害的，因為惡意的密碼竊取者最多隻能通過佔用所有的CPU和GPU資源來減慢受害者的Mac電腦的速度。，但它還遠遠不止於此。

Malwarebytes的Thomas Reed補充稱:“要記住，cryptominer是通過後門發出的命令安裝的，過去很可能還有其他任意命令通過後門傳送給受感染的mac電腦。”

此外，“不可能確切地知道這種惡意軟體可能對受感染的系統造成了什麼損害。僅僅因為我們只觀察了挖掘採礦行為並不意味著它從未做過其他事情。”

在惡意任務中，OSX.DarthMiner可以讓入侵者祕密地在後臺執行，資料收集和洩漏可能是最不危險的。