据 Cryptopolitan 于 5 月 11 日报道,微软 Defender 安全研究团队公布调查结果,发现攻击者自 2025 年底起在 Medium、Craft 等平台上发布虚假 macOS 故障排除指南,诱导用户在终端中执行恶意命令,从而安装恶意软件窃取加密钱包金钥、iCloud 数据及浏览器存储密码。
攻击机制:ClickFix 绕过 macOS Gatekeeper
根据微软 Defender 安全研究团队报告,攻击者采用名为 ClickFix 的社会工程技术:在 Medium、Craft 及 Squarespace 等平台上发布伪装为释放磁盘空间或修复系统错误的 macOS 故障排除指南,引导用户复制恶意命令并贴入 macOS Terminal,命令执行后即自动下载并启动恶意软件。
根据微软报告,此手法绕过 macOS Gatekeeper 安全机制,原因在于 Gatekeeper 针对通过 Finder 打开的应用程序执行代码签章与公证验证,但用户直接在 Terminal 中执行命令的方式不受此验证步骤约束。研究人员同时发现,攻击者利用 curl、osascript 及其他 macOS 原生工具直接在内存中执行恶意代码(无文件攻击),使标准防毒工具难以侦测。
恶意软件家族、窃取范围与特殊机制
根据微软报告,此攻击活动涉及三个恶意软件家族(AMOS、Macsync、SHub Stealer)及三类安装程序(Loader、Script、Helper),窃取目标数据包括:
加密钱包金钥:Exodus、Ledger、Trezor
账户凭证:iCloud、Telegram
浏览器存储密码:Chrome、Firefox
私人文件及照片:小于 2 MB 的本机文件
恶意软件安装后会显示虚假对话框,要求用户输入系统密码以安装“辅助工具”;若用户输入密码,攻击者即可取得完整文件及系统设置存取权。微软报告另指出,部分情况下攻击者删除 Trezor Suite、Ledger Wallet 及 Exodus 的合法应用程序,并以植入木马的版本取而代之以监控交易及窃取资金。此外,上述恶意软件加载程序包含终止开关:若侦测到俄语键盘布局,恶意软件将自动停止执行。
相关攻击活动与 Apple 防护措施
根据 ANY.RUN 安全研究人员的调查,Lazarus Group 已发起名为“Mach-O Man”的黑客行动,采用与 ClickFix 相同的技术,通过伪造会议邀请攻击以 macOS 为主要作业系统的金融科技及加密货币公司。
Cryptopolitan 另报道称,朝鲜黑客组织 Famous Chollima 使用 AI 生成代码,将恶意 npm 套件植入加密货币交易项目,该恶意软件采用双层混淆架构,窃取钱包数据及系统机密信息。
根据报道,Apple 已在 macOS 26.4 版本中新增防护机制,可阻止标记为潜在恶意的命令贴入 macOS 终端。
常见问题
微软 Defender 揭露的 ClickFix macOS 攻击活动自何时开始,发布于哪些平台?
根据微软 Defender 安全研究团队及 Cryptopolitan 2026 年 5 月 11 日的报道,攻击活动自 2025 年底开始活跃,攻击者在 Medium、Craft 及 Squarespace 等平台上发布虚假 macOS 故障排除指南,诱导 Mac 用户执行恶意 Terminal 命令。
此攻击活动针对哪些加密钱包及数据类型?
根据微软 Defender 报告,涉及恶意软件(AMOS、Macsync、SHub Stealer)可窃取 Exodus、Ledger 及 Trezor 的加密钱包金钥,以及 iCloud、Telegram 账户数据,以及 Chrome 和 Firefox 中存储的用户名和密码。
Apple 针对此类攻击推出了哪些防护措施?
根据报道,Apple 已在 macOS 26.4 版本中新增防护机制,阻止标记为潜在恶意的命令贴入 macOS Terminal,以降低 ClickFix 类型社会工程攻击的成功率。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
Huma Finance v1 合约在 Polygon 上遭到利用,损失 101,400 USDC
据 Foresight News 称,Huma Finance 的 legacy v1 合约部署在 Polygon 上,今天遭到攻击者利用,导致损失 101,400 USDC。该协议表示用户资金不受影响,且其 PST 代币未受影响。部署在 Solana 上的 v2 系统是一次完整重建,不存在此漏洞。Huma Finance 已完全暂停 v1 运营,正如其此前计划的那样将逐步关闭 legacy 流动性池。
GateNews56 分钟前
交易员 Sigma 钱包再次被盗;六个月内第二个钱包被清空,$200K 被另一名用户损失
据 Odaily 称,交易员 A(@missoralways)表示,他们连接到 Sigma 的两个钱包最近被清空,这是他们在 6 个月内遭遇的第二次钱包被盗。该交易员称,他们此前在 Sigma 中存放过七位数资产且没有任何安全问题,但两次被清空都发生在钱包余额低于 $10,000 的情况下。此外,另一名用户在类似情况下大约损失了 $200,000 的资产。Sigma 团队已启动对这些事件的调查。
GateNews4小时前
Arkham Intelligence 揭示:投资欺诈账户占加密犯罪的 49%,而非黑客行为,时间为 5 月 11 日
根据 Arkham Intelligence 的说法,5 月 11 日,这家区块链分析平台发布了一份报告,称 2025 年的加密货币犯罪损失中,投资欺诈占比为 49%。报告援引 FBI Internet Crime Complaint Center 的数据称,2025 年美国境内与加密货币相关的犯罪损失超过 110 亿美元。报告指出,数字资产犯罪如今已涵盖多种形式,包括投资诈骗、洗钱、勒索软件、规避制裁和资助恐怖主义,其中更复杂的“恋爱+投资”组合诈骗正推动了巨额损失。
GateNews6小时前
SlowMist 于 5 月 11 日发现针对 TRON 钱包用户的恶意 Chrome MV3 扩展
据 SlowMist 的安全监控系统 MistEye 称,一款恶意 Chrome MV3 扩展正在利用网络钓鱼攻击 TRON 钱包用户,目的是窃取助记词、私钥、密钥库文件和密码。该扩展使用 Unicode 混淆和品牌冒充来伪装成官方插件,然后在安装后加载远程 iframe 弹窗页面,诱骗用户输入敏感信息,并通过 Telegram Bot 进行传输。 恶意基础设施包含域名 tronfind-api.tronfindexplorer.com 和 trx-scan-explorer.org。该扩展的 ID 为 ekjidonhjmneoompmjbjofpjmhklpjdd。SlowMist 建议用户立即卸载该扩展,并在已提交敏感信息的情况下迁移资产。
GateNews7小时前
Ink Finance 的 Polygon 工作空间金库代理遭攻击,损失 14 万美元
据 ChainCatcher 称,Ink Finance 在 Polygon 上的 Workspace Treasury Proxy 于几分钟前遭到攻击,损失约为 14 万美元。
GateNews8小时前
TrustedVolumes 攻击者在 5 月 11 日将被盗资金中的 $278K 转移
据 PeckShield 监控,TrustedVolumes 攻击者截至 5 月 11 日已转移并洗白了 27.8 万美元的被盗资金。攻击者向 Tornado Cash 存入了 10.2 ETH(2.36 万美元),通过 THORChain 将 110 ETH(25 万美元)兑换为比特币,并在尝试向 Railgun 存入 0.5 ETH 后又撤回。TrustedVolumes 在 5 月 7 日的攻击中遭受了约 670 万美元的总损失。
GateNews9小时前
