虚假的 macOS 故障排除帖子会安装加密钱包窃取程序

攻击者在 Medium、Craft 和 Squarespace 等平台上发布虚假的 macOS 故障排除指南。 他们的目的是诱骗用户运行终端命令，从而安装恶意软件，窃取 iCloud 数据、已保存的密码和加密钱包。

微软Defender安全研究团队公布了调查结果。该攻击活动自2025年底开始，专门针对寻求帮助解决常见问题（例如释放磁盘空间或修复系统错误）的Mac用户。.

这些页面并没有提供有效的解决方案，而是让用户复制一条命令并粘贴到终端中。这条命令会下载并运行恶意软件。.

这些误导性的博客文章教唆读者复制恶意命令并粘贴到终端中。该命令会下载恶意软件并在受害者的计算机上运行。.

这项技术名为 ClickFix。它是一种社会工程学手段，旨在转移向受害者投放恶意程序的责任。由于用户直接在终端中运行命令，macOS Gatekeeper 不会检查恶意程序。.

Gatekeeper 通常会检查通过 Finder 打开的应用程序包的代码签名和公证，但这种方法完全绕过了这一步骤。.

攻击者发起了三场目标相同的攻击活动。

微软发现了三个活动安装程序：

1. 装载机。.
2. 剧本。.
3. 帮手。.

这三种攻击都会收集敏感数据，建立持久性，并将窃取的信息泄露到攻击者的服务器。.

这些恶意软件家族包括 AMOS、Macsync 和 SHub Stealer。如果安装了这三种恶意软件中的任何一种，它们都会窃取 iCloud 和 Telegram 帐户数据。然后，它们会查找小于 2 MB 的私人文档和照片。此外，它们还会从 Exodus、Ledger 和 Trezor 中trac加密钱包密钥，并窃取 Chrome 和 Firefox 中保存的用户名和密码。.

安装完成后，该 恶意软件 会弹出一个虚假对话框，要求输入系统密码以安装一个“辅助工具”。如果用户输入密码，攻击者就能完全访问文件和系统设置。

在某些情况下，研究人员发现攻击者删除了合法的加密钱包应用程序，并用植入木马的版本取而代之，这些木马旨在监控交易和窃取资金。.

Trezor Suite、Ledger Wallet 和 Exodus 是此次攻击的主要目标应用程序。.

该加载程序还包含一个终止开关。如果检测到俄语键盘布局，恶意软件将停止执行。.

安全研究人员发现，攻击者利用 curl、osascript 和其他 macOS 原生工具直接在内存中运行恶意代码。这种无文件攻击方式使得标准杀毒工具更难检测到此类攻击。.

攻击者瞄准加密货币开发者

来自 ANY[.]RUN 的安全研究人员发现了一个名为“Mach-O Man”的 Lazarus Group 黑客行动。该黑客利用与 ClickFix 相同的技术，通过伪造会议邀请进行攻击。他们的目标是那些 金融科技和加密货币公司 。

Cryptopolitan 报道 了 PromptMink 活动。

朝鲜黑客组织 Famous Chollima 利用人工智能生成的代码，将一个恶意 npm 包植入了一个加密货币交易项目中。该恶意软件采用双层包架构，获取了钱包数据和系统机密信息。.

这两起攻击事件都表明，加密钱包数据极具价值。攻击者正在不断调整其传播方式，从虚假博客文章到利用人工智能辅助的供应链入侵，以获取这些数据。.