微软：假冒 macOS 故障排除页面部署 ClickFix，窃取加密钱包密钥

据 Cryptopolitan 于 5 月 11 日报道，微软 Defender 安全研究团队公布调查结果，发现攻击者自 2025 年底起在 Medium、Craft 等平台上发布虚假 macOS 故障排除指南，诱导用户在终端中执行恶意命令，从而安装恶意软件窃取加密钱包金钥、iCloud 数据及浏览器存储密码。

攻击机制：ClickFix 绕过 macOS Gatekeeper

根据微软 Defender 安全研究团队报告，攻击者采用名为 ClickFix 的社会工程技术：在 Medium、Craft 及 Squarespace 等平台上发布伪装为释放磁盘空间或修复系统错误的 macOS 故障排除指南，引导用户复制恶意命令并贴入 macOS Terminal，命令执行后即自动下载并启动恶意软件。

根据微软报告，此手法绕过 macOS Gatekeeper 安全机制，原因在于 Gatekeeper 针对通过 Finder 打开的应用程序执行代码签章与公证验证，但用户直接在 Terminal 中执行命令的方式不受此验证步骤约束。研究人员同时发现，攻击者利用 curl、osascript 及其他 macOS 原生工具直接在内存中执行恶意代码（无文件攻击），使标准防毒工具难以侦测。

恶意软件家族、窃取范围与特殊机制

根据微软报告，此攻击活动涉及三个恶意软件家族（AMOS、Macsync、SHub Stealer）及三类安装程序（Loader、Script、Helper），窃取目标数据包括：

加密钱包金钥：Exodus、Ledger、Trezor

账户凭证：iCloud、Telegram

浏览器存储密码：Chrome、Firefox

私人文件及照片：小于 2 MB 的本机文件

恶意软件安装后会显示虚假对话框，要求用户输入系统密码以安装“辅助工具”；若用户输入密码，攻击者即可取得完整文件及系统设置存取权。微软报告另指出，部分情况下攻击者删除 Trezor Suite、Ledger Wallet 及 Exodus 的合法应用程序，并以植入木马的版本取而代之以监控交易及窃取资金。此外，上述恶意软件加载程序包含终止开关：若侦测到俄语键盘布局，恶意软件将自动停止执行。

相关攻击活动与 Apple 防护措施

根据 ANY.RUN 安全研究人员的调查，Lazarus Group 已发起名为“Mach-O Man”的黑客行动，采用与 ClickFix 相同的技术，通过伪造会议邀请攻击以 macOS 为主要作业系统的金融科技及加密货币公司。

Cryptopolitan 另报道称，朝鲜黑客组织 Famous Chollima 使用 AI 生成代码，将恶意 npm 套件植入加密货币交易项目，该恶意软件采用双层混淆架构，窃取钱包数据及系统机密信息。

根据报道，Apple 已在 macOS 26.4 版本中新增防护机制，可阻止标记为潜在恶意的命令贴入 macOS 终端。

常见问题

微软 Defender 揭露的 ClickFix macOS 攻击活动自何时开始，发布于哪些平台？

根据微软 Defender 安全研究团队及 Cryptopolitan 2026 年 5 月 11 日的报道，攻击活动自 2025 年底开始活跃，攻击者在 Medium、Craft 及 Squarespace 等平台上发布虚假 macOS 故障排除指南，诱导 Mac 用户执行恶意 Terminal 命令。

此攻击活动针对哪些加密钱包及数据类型？

根据微软 Defender 报告，涉及恶意软件（AMOS、Macsync、SHub Stealer）可窃取 Exodus、Ledger 及 Trezor 的加密钱包金钥，以及 iCloud、Telegram 账户数据，以及 Chrome 和 Firefox 中存储的用户名和密码。

Apple 针对此类攻击推出了哪些防护措施？

根据报道，Apple 已在 macOS 26.4 版本中新增防护机制，阻止标记为潜在恶意的命令贴入 macOS Terminal，以降低 ClickFix 类型社会工程攻击的成功率。