據 Cryptopolitan 於 5 月 11 日報道,微軟 Defender 安全研究團隊公布調查結果,發現攻擊者自 2025 年底起在 Medium、Craft 等平台上發布虛假 macOS 故障排除指南,誘導用戶在終端中執行惡意命令,從而安裝惡意軟體竊取加密錢包金鑰、iCloud 數據及瀏覽器儲存密碼。
攻擊機制:ClickFix 繞過 macOS Gatekeeper
根據微軟 Defender 安全研究團隊報告,攻擊者採用名為 ClickFix 的社會工程技術:在 Medium、Craft 及 Squarespace 等平台上發布偽裝為釋放磁碟空間或修復系統錯誤的 macOS 故障排除指南,引導用戶複製惡意命令並貼入 macOS Terminal,命令執行後即自動下載並啟動惡意軟體。
根據微軟報告,此手法繞過 macOS Gatekeeper 安全機制,原因在於 Gatekeeper 針對透過 Finder 開啟的應用程式執行程式碼簽章與公證驗證,但用戶直接在 Terminal 中執行命令的方式不受此驗證步驟約束。研究人員同時發現,攻擊者利用 curl、osascript 及其他 macOS 原生工具直接在記憶體中執行惡意程式碼(無文件攻擊),使標準防毒工具難以偵測。
惡意軟體家族、竊取範圍與特殊機制
根據微軟報告,此攻擊活動涉及三個惡意軟體家族(AMOS、Macsync、SHub Stealer)及三類安裝程式(Loader、Script、Helper),竊取目標數據包括:
加密錢包金鑰:Exodus、Ledger、Trezor
帳戶憑證:iCloud、Telegram
瀏覽器儲存密碼:Chrome、Firefox
私人文件及照片:小於 2 MB 的本機文件
惡意軟體安裝後會顯示虛假對話框,要求用戶輸入系統密碼以安裝「輔助工具」;若用戶輸入密碼,攻擊者即可取得完整文件及系統設定存取權。微軟報告另指出,部分情況下攻擊者刪除 Trezor Suite、Ledger Wallet 及 Exodus 的合法應用程式,並以植入木馬的版本取而代之以監控交易及竊取資金。此外,上述惡意軟體載入程式包含終止開關:若偵測到俄語鍵盤佈局,惡意軟體將自動停止執行。
相關攻擊活動與 Apple 防護措施
根據 ANY.RUN 安全研究人員的調查,Lazarus Group 已發起名為「Mach-O Man」的駭客行動,採用與 ClickFix 相同的技術,透過偽造會議邀請攻擊以 macOS 為主要作業系統的金融科技及加密貨幣公司。
Cryptopolitan 另報道,朝鮮駭客組織 Famous Chollima 使用 AI 生成程式碼,將惡意 npm 套件植入加密貨幣交易項目,該惡意軟體採用雙層混淆架構,竊取錢包數據及系統機密資訊。
根據報道,Apple 已在 macOS 26.4 版本中新增防護機制,可阻止標記為潛在惡意的命令貼入 macOS 終端。
常見問題
微軟 Defender 揭露的 ClickFix macOS 攻擊活動自何時開始,發布於哪些平台?
根據微軟 Defender 安全研究團隊及 Cryptopolitan 2026 年 5 月 11 日的報道,攻擊活動自 2025 年底開始活躍,攻擊者在 Medium、Craft 及 Squarespace 等平台上發布虛假 macOS 故障排除指南,誘導 Mac 用戶執行惡意 Terminal 命令。
此攻擊活動針對哪些加密錢包及數據類型?
根據微軟 Defender 報告,涉及惡意軟體(AMOS、Macsync、SHub Stealer)可竊取 Exodus、Ledger 及 Trezor 的加密錢包金鑰,以及 iCloud、Telegram 帳戶數據,以及 Chrome 和 Firefox 中儲存的使用者名稱和密碼。
Apple 針對此類攻擊推出了哪些防護措施?
根據報道,Apple 已在 macOS 26.4 版本中新增防護機制,阻止標記為潛在惡意的命令貼入 macOS Terminal,以降低 ClickFix 類型社會工程攻擊的成功率。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
Huma Finance v1 合約遭 Polygon 攻擊,損失 101,400 USDC
根據 Foresight News,Huma Finance 的 legacy v1 合約部署在 Polygon 上,今日遭攻擊者利用,導致損失 101,400 USDC。該協議表示,使用者資金不受影響,其 PST 代幣也未受影響。部署在 Solana 上的 v2 系統(一個完整重建)不易受此漏洞影響。Huma Finance 已完全暫停 v1 的運作,因其先前已計劃關閉 legacy 流動性池。
GateNews56分鐘前
交易員的 Sigma 錢包再次遭盜;第二個錢包在六個月內被清空,$200K 由其他使用者損失
根據 Odaily,交易者 A(@missoralways)表示,其連接到 Sigma 的兩個錢包近期遭到清空,這也成為其在六個月內遭入侵的第二個錢包。該交易者稱,他們先前在 Sigma 中存放七位數資產而未出現安全問題,但兩次清空都發生在錢包餘額低於 10,000 美元時。此外,另一名使用者在類似情況下損失了約 20 萬美元的資產。Sigma 團隊已針對這些事件展開調查。
GateNews4小時前
Arkham Intelligence 揭露:5 月 11 日,投資詐欺帳戶占加密犯罪的 49%,而非駭入
根據 Arkham Intelligence 的說法,5 月 11 日,區塊鏈分析平台發布了一份報告,揭露投資詐欺占 2025 年加密貨幣犯罪損失的 49%。報告援引 FBI 網路犯罪投訴中心(Internet Crime Complaint Center)的數據指出,2025 年美國境內與加密相關的犯罪損失超過 110 億美元。報告指出,數位資產犯罪如今已涵蓋多種形式,包括投資詐騙、洗錢、勒索軟體、規避制裁以及恐怖分子融資,其中結合精心設計的戀愛詐騙與投資話術的複合詐騙,正在推動鉅額損失。
GateNews6小時前
SlowMist 於 5 月 11 日發現針對 TRON 錢包使用者的惡意 Chrome MV3 擴充功能
根據 SlowMist 的資安監控系統 MistEye,一款惡意的 Chrome MV3 擴充功能正以釣魚攻擊鎖定 TRON 錢包使用者,企圖竊取助記詞、私鑰、金鑰庫檔案與密碼。該擴充功能使用 Unicode 混淆與品牌冒充,將自己偽裝成官方外掛;然後在安裝後載入遠端 iframe 彈出頁面,誘使使用者輸入敏感資訊,並透過 Telegram Bot 進行傳送。 惡意基礎設施包含網域 tronfind-api.tronfindexplorer.com 與 trx-scan-explorer.org。該擴充功能的識別碼為 ekjidonhjmneoompmjbjofpjmhklpjdd。SlowMist 建議使用者立即解除安裝該擴充功能,若已提交敏感資訊,則請遷移資產。
GateNews7小時前
Ink Finance 的 Polygon 工作區金庫代理遭攻擊,損失 140,000 美元
根據 ChainCatcher,Ink Finance 在 Polygon 上的 Workspace Treasury Proxy 於數分钟前遭到攻擊,造成約 14 萬美元的損失。
GateNews8小時前
TrustedVolumes 攻擊者於 5 月 11 日將 $278K 於被盜資金中轉移
根據 PeckShield 監控,TrustedVolumes 攻擊者已於 5 月 11 日前轉移並洗錢了 278,000 美元的竊得資金。攻擊者將 10.2 ETH(23,600 美元)存入 Tornado Cash,透過 THORChain 將 110 ETH(250,000 美元)兌換為比特幣,並嘗試在撤回前將 0.5 ETH 存入 Railgun。TrustedVolumes 在 5 月 7 日的攻擊中遭受約 670 萬美元的總損失。
GateNews9小時前
