据 Cryptopolitan 于 5 月 11 日报道,微软 Defender 安全研究团队公布调查结果,发现攻击者自 2025 年底起在 Medium、Craft 等平台上发布虚假 macOS 故障排除指南,诱导用户在终端中执行恶意命令,从而安装恶意软件窃取加密钱包金钥、iCloud 数据及浏览器存储密码。
攻击机制:ClickFix 绕过 macOS Gatekeeper
根据微软 Defender 安全研究团队报告,攻击者采用名为 ClickFix 的社会工程技术:在 Medium、Craft 及 Squarespace 等平台上发布伪装为释放磁盘空间或修复系统错误的 macOS 故障排除指南,引导用户复制恶意命令并贴入 macOS Terminal,命令执行后即自动下载并启动恶意软件。
根据微软报告,此手法绕过 macOS Gatekeeper 安全机制,原因在于 Gatekeeper 针对通过 Finder 打开的应用程序执行代码签章与公证验证,但用户直接在 Terminal 中执行命令的方式不受此验证步骤约束。研究人员同时发现,攻击者利用 curl、osascript 及其他 macOS 原生工具直接在内存中执行恶意代码(无文件攻击),使标准防毒工具难以侦测。
恶意软件家族、窃取范围与特殊机制
根据微软报告,此攻击活动涉及三个恶意软件家族(AMOS、Macsync、SHub Stealer)及三类安装程序(Loader、Script、Helper),窃取目标数据包括:
加密钱包金钥:Exodus、Ledger、Trezor
账户凭证:iCloud、Telegram
浏览器存储密码:Chrome、Firefox
私人文件及照片:小于 2 MB 的本机文件
恶意软件安装后会显示虚假对话框,要求用户输入系统密码以安装“辅助工具”;若用户输入密码,攻击者即可取得完整文件及系统设置存取权。微软报告另指出,部分情况下攻击者删除 Trezor Suite、Ledger Wallet 及 Exodus 的合法应用程序,并以植入木马的版本取而代之以监控交易及窃取资金。此外,上述恶意软件加载程序包含终止开关:若侦测到俄语键盘布局,恶意软件将自动停止执行。
相关攻击活动与 Apple 防护措施
根据 ANY.RUN 安全研究人员的调查,Lazarus Group 已发起名为“Mach-O Man”的黑客行动,采用与 ClickFix 相同的技术,通过伪造会议邀请攻击以 macOS 为主要作业系统的金融科技及加密货币公司。
Cryptopolitan 另报道称,朝鲜黑客组织 Famous Chollima 使用 AI 生成代码,将恶意 npm 套件植入加密货币交易项目,该恶意软件采用双层混淆架构,窃取钱包数据及系统机密信息。
根据报道,Apple 已在 macOS 26.4 版本中新增防护机制,可阻止标记为潜在恶意的命令贴入 macOS 终端。
常见问题
微软 Defender 揭露的 ClickFix macOS 攻击活动自何时开始,发布于哪些平台?
根据微软 Defender 安全研究团队及 Cryptopolitan 2026 年 5 月 11 日的报道,攻击活动自 2025 年底开始活跃,攻击者在 Medium、Craft 及 Squarespace 等平台上发布虚假 macOS 故障排除指南,诱导 Mac 用户执行恶意 Terminal 命令。
此攻击活动针对哪些加密钱包及数据类型?
根据微软 Defender 报告,涉及恶意软件(AMOS、Macsync、SHub Stealer)可窃取 Exodus、Ledger 及 Trezor 的加密钱包金钥,以及 iCloud、Telegram 账户数据,以及 Chrome 和 Firefox 中存储的用户名和密码。
Apple 针对此类攻击推出了哪些防护措施?
根据报道,Apple 已在 macOS 26.4 版本中新增防护机制,阻止标记为潜在恶意的命令贴入 macOS Terminal,以降低 ClickFix 类型社会工程攻击的成功率。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
韩国 FSI 启动智能合约安全验证工具,推进三个项目
据 Edaily 报道,韩国金融安全院(FSI)今日宣布正在开发一款专用的智能合约安全验证工具,并推进三项主要举措,包括构建智能合约验证系统以及数字资产人才培养。该验证工具将自动检测用于代币证券、稳定币以及其他数字资产服务的智能合约中的重大漏洞,重点关注再入攻击、访问控制错误以及抵押品验证不足等高风险漏洞类型。该工具将持续更新与韩国金融监管环境相匹配的定制检查标准。FSI 还将建立覆盖整个智能合约生命周期的验证流程和标准,从开发到部署及运营,并为成员公司发布《智能合约安全指南》。
GateNews45 分钟前
Wagyu 开发者否认 XMR1 Rug Pull,并澄清通过终端进行的提取
根据 Foresight News,Wagyu 开发者 PerpetualCow 澄清,XMR1 代币持有者可以通过 Terminal 而非传统跨链 UI 提款,否认近期 Rug Pull(疑似拉地毯)指控。开发者表示,没有用户报告提款失败,且兑换界面已明确标注正确的提款方式。社区成员此前曾提出担忧,称 Wagyu 类似 Rug Pull,XMR 存款可能被锁定,并且存在 Honeypot 指示器。XMR1 是 Wagyu 在 Hyperliquid 上发行的合成 XMR 代币。
GateNews2小时前
叛徒 V1 Arbitrum 部署遭攻击,损失 20.9 万美元;白帽黑客退还 19 万美元
根据 Renegade 在 X 上的官方声明,该协议的旧版 V1 Arbitrum 部署于今早(5 月 11 日)遭到攻击,造成约 209,000 美元的损失。白帽黑客已归还约 190,000 美元,团队确认所有受影响用户都将获得全额补偿。 团队确认,该漏洞仅存在于 V1 Arbitrum 部署中;V1 Base、V2 Arbitrum 和 V2 Base 部署仍然安全。为支持 V1 Arbitrum 交易的所有基础设施已暂停运行,从而消除了进一步的资金风险。
GateNews3小时前
USDT0 宣布 3/3 验证机制和 $6M 漏洞赏金计划,并在 Kelp 事件之后推出
据 Foresight News 称,USDT0,Tether 的资产互操作协议,在 Kelp 事件之后公布了安全架构细节。该协议采用自有的去中心化验证者网络(DVN),具备消息否决权,并要求基于不同代码库的三个独立验证者达成 3/3 共识,只有在跨链消息结算前方可完成。目前的验证者节点包括 USDT0 自有的 DVN、LayerZero 和 Canary。USDT0 还在 Immunefi 上启动了 600 万美元的漏洞赏金计划,合约已由 Guardian 和 OpenZeppelin 进行审计。
GateNews4小时前
微软发现一场针对 Exodus、Ledger 和 Trezor 钱包的 macOS 钓鱼活动,自 2025 年末以来持续进行
根据微软安全研究团队的说法,自 2025 年底以来,攻击者一直在包括 Medium、Craft 和 Squarespace 在内的平台上分发伪造的 macOS 故障排除指南,以诱骗用户运行恶意终端命令。这些命令会下载并执行旨在从 Exodus、Ledger 和 Trezor 窃取加密货币钱包密钥的恶意软件,并窃取 iCloud 数据以及 Chrome 和 Firefox 中保存的密码。 涉及的恶意软件家族包括 AMOS、Macsync 和 SHub Stealer。在某些情况下,攻击者还会删除合法的钱包应用,并用被木马化的版本替换。苹果已在 macOS 26.4 中添加保护措施,以阻止粘贴可能具有恶意的命令。
GateNews4小时前
LayerZero 就 Kelp DAO 漏洞响应发布公开道歉,承认 DVN 单验证者故障
据 LayerZero 称,该协议于周五就其 4 月 18 日发生的漏洞处理问题发布了公开道歉。该漏洞从 Kelp DAO 的跨链桥中抽走了 2.92 亿美元 rsETH,标志着其此前事后分析文章在语气上的显著转变。LayerZero 承认,其去中心化验证器网络(Decentralized Verifier Network,DVN)不应当充当高价值交易的唯一验证器,并表示:“我们允许我们的 DVN 作为高价值交易的 1/1 DVN,这是我们的错误。”公司透露,朝鲜的 Lazarus Group 在同时向外部服务商发起 DDoS 攻击的过程中,已经攻破了其内部 RPC 节点,迫使 DVN 依赖被投毒的基础设施。 LayerZero 列出了整改步骤:其 DVN 将不再服务 1/1 配置;默认设置正在迁移为在可能的情况下至少需要五名验证器;公司计划使用 OneSig 将其 multisig 阈值从 3-of-5 升级到 7-of-10。此次漏洞影响了网络中约 0.14% 的应用以及全部资产的 0.36%,自 4 月 19 日以来,已有超过 90 亿美元的资金通过该协议发生了跨链转移。
GateNews4小时前
