ClickFix 恶意软件活动针对搜索帮助的 Mac 用户

攻击者在 Medium、Craft 和 Squarespace 上发布假冒的 macOS 故障排除指南。其目的是让用户运行 Terminal 命令，从而安装针对 iCloud 数据、保存的密码和加密钱包的恶意软件。

微软的 Defender Security Research Team 公布了调查结果。该活动自 2025 年末以来一直在进行。它盯上的是 Mac 用户——当他们在搜索如何解决常见问题（如释放磁盘空间或修复系统错误）时，就会成为目标。

这些页面并未提供真正的修复方案，而是让用户复制一条命令并将其粘贴到 Terminal 中。该命令会下载并运行恶意软件。

这些具有误导性的博客文章会引导读者复制一条恶意命令并粘贴到 Terminal。该命令会下载恶意软件，并在受害者的电脑上运行。

这种技术被称为 ClickFix。这是一种社会工程学手段，会把启动载荷的责任转移到受害者身上。因为用户是直接在 Terminal 中运行该命令，所以 macOS 的 Gatekeeper 永远不会对载荷进行检查。

Gatekeeper 通常会在通过 Finder 打开应用程序包时检查代码签名和公证（notarization），但这种方法会完全绕开这一过程。

攻击者发起了三次具有相同目标的活动

微软发现了三种活动安装程序：

一个加载器。

一个脚本。

一个助手。

这三者都会窃取敏感数据、建立持久性，并将被窃取的信息外传至攻击者的服务器。

恶意软件家族包括 AMOS、Macsync 和 SHub Stealer。如果安装了其中任意一种恶意软件，它们就会窃取 iCloud 和 Telegram 账户数据。随后，它们会查找 2 MB 以下的私人文件和照片。并从 Exodus、Ledger 和 Trezor 中提取加密钱包密钥，同时窃取 Chrome 和 Firefox 中保存的用户名和密码。

安装完成后，恶意软件会弹出一个假的对话框，并要求输入系统密码以安装“助手工具”。如果用户输入了密码，攻击者就会获得对文件和系统设置的完全访问权限。

在某些情况下，研究人员发现攻击者删除了合法的加密钱包应用，并用专门设计来监控交易、并窃取资金的木马化版本进行替换。

此次攻击中被重点针对的主要应用包括 Trezor Suite、Ledger Wallet 和 Exodus。

加载器活动还包含一个“杀开关（kill switch）”。如果恶意软件检测到俄语键盘布局，它就会停止执行。

安全研究人员观察到攻击者使用 curl、osascript 以及其他 macOS 原生工具，直接在内存中运行载荷。这是一种“无文件（fileless）”方式，使标准杀毒工具更难检测。

攻击者瞄准加密货币开发者

来自 ANY[.]RUN 的 Security Research Team 发现了一个名为 “Mach-O Man” 的 Lazarus Group 行动。黑客通过伪造的会议邀请，使用相同的 ClickFix 技术发起攻击。他们针对的是 macOS 常见的金融科技和加密货币机器。

Cryptopolitan 报道了 PromptMink 活动。

北朝鲜集团 Famous Chollima 通过 AI 生成的改动，把一个恶意的 npm 包植入到某个加密交易项目中。通过双层包（two-layer package）方式，恶意软件获得了对钱包数据和系统机密的访问权限。

这两次行动都表明：加密钱包数据很有价值。攻击者正在把投放方式从伪造博客，调整为借助 AI 的供应链入侵，以触达目标。

如果你正在阅读这篇内容，那么你已经领先了。让我们的新闻通讯陪你保持领先。