據 Cryptopolitan 於 5 月 11 日報道,微軟 Defender 安全研究團隊公布調查結果,發現攻擊者自 2025 年底起在 Medium、Craft 等平台上發布虛假 macOS 故障排除指南,誘導用戶在終端中執行惡意命令,從而安裝惡意軟體竊取加密錢包金鑰、iCloud 數據及瀏覽器儲存密碼。
攻擊機制:ClickFix 繞過 macOS Gatekeeper
根據微軟 Defender 安全研究團隊報告,攻擊者採用名為 ClickFix 的社會工程技術:在 Medium、Craft 及 Squarespace 等平台上發布偽裝為釋放磁碟空間或修復系統錯誤的 macOS 故障排除指南,引導用戶複製惡意命令並貼入 macOS Terminal,命令執行後即自動下載並啟動惡意軟體。
根據微軟報告,此手法繞過 macOS Gatekeeper 安全機制,原因在於 Gatekeeper 針對透過 Finder 開啟的應用程式執行程式碼簽章與公證驗證,但用戶直接在 Terminal 中執行命令的方式不受此驗證步驟約束。研究人員同時發現,攻擊者利用 curl、osascript 及其他 macOS 原生工具直接在記憶體中執行惡意程式碼(無文件攻擊),使標準防毒工具難以偵測。
惡意軟體家族、竊取範圍與特殊機制
根據微軟報告,此攻擊活動涉及三個惡意軟體家族(AMOS、Macsync、SHub Stealer)及三類安裝程式(Loader、Script、Helper),竊取目標數據包括:
加密錢包金鑰:Exodus、Ledger、Trezor
帳戶憑證:iCloud、Telegram
瀏覽器儲存密碼:Chrome、Firefox
私人文件及照片:小於 2 MB 的本機文件
惡意軟體安裝後會顯示虛假對話框,要求用戶輸入系統密碼以安裝「輔助工具」;若用戶輸入密碼,攻擊者即可取得完整文件及系統設定存取權。微軟報告另指出,部分情況下攻擊者刪除 Trezor Suite、Ledger Wallet 及 Exodus 的合法應用程式,並以植入木馬的版本取而代之以監控交易及竊取資金。此外,上述惡意軟體載入程式包含終止開關:若偵測到俄語鍵盤佈局,惡意軟體將自動停止執行。
相關攻擊活動與 Apple 防護措施
根據 ANY.RUN 安全研究人員的調查,Lazarus Group 已發起名為「Mach-O Man」的駭客行動,採用與 ClickFix 相同的技術,透過偽造會議邀請攻擊以 macOS 為主要作業系統的金融科技及加密貨幣公司。
Cryptopolitan 另報道,朝鮮駭客組織 Famous Chollima 使用 AI 生成程式碼,將惡意 npm 套件植入加密貨幣交易項目,該惡意軟體採用雙層混淆架構,竊取錢包數據及系統機密資訊。
根據報道,Apple 已在 macOS 26.4 版本中新增防護機制,可阻止標記為潛在惡意的命令貼入 macOS 終端。
常見問題
微軟 Defender 揭露的 ClickFix macOS 攻擊活動自何時開始,發布於哪些平台?
根據微軟 Defender 安全研究團隊及 Cryptopolitan 2026 年 5 月 11 日的報道,攻擊活動自 2025 年底開始活躍,攻擊者在 Medium、Craft 及 Squarespace 等平台上發布虛假 macOS 故障排除指南,誘導 Mac 用戶執行惡意 Terminal 命令。
此攻擊活動針對哪些加密錢包及數據類型?
根據微軟 Defender 報告,涉及惡意軟體(AMOS、Macsync、SHub Stealer)可竊取 Exodus、Ledger 及 Trezor 的加密錢包金鑰,以及 iCloud、Telegram 帳戶數據,以及 Chrome 和 Firefox 中儲存的使用者名稱和密碼。
Apple 針對此類攻擊推出了哪些防護措施?
根據報道,Apple 已在 macOS 26.4 版本中新增防護機制,阻止標記為潛在惡意的命令貼入 macOS Terminal,以降低 ClickFix 類型社會工程攻擊的成功率。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
南韓 FSI 啟動智慧合約安全性驗證工具,推進三個計畫
根據 Edaily,南韓金融安全院(FSI)今日宣布開發一款專用的智慧合約安全驗證工具,並推進三項主要計畫,包括打造智慧合約驗證系統以及培育數位資產人才。該驗證工具將自動偵測用於代幣證券、穩定幣以及其他數位資產服務的智慧合約中的主要弱點,重點鎖定高風險弱點類型,例如重入(reentrancy)攻擊、存取控制錯誤以及抵押品驗證不足。工具將持續更新符合南韓金融監管環境的客製化檢查標準。FSI 也將建立涵蓋整個智慧合約生命週期的驗證程序與標準,從開發到部署與營運,並為會員公司發布《智慧合約安全指南》。
GateNews45分鐘前
Wagyu 開發者否認 XMR1 押資盤(Rug Pull),澄清透過終端機進行提款
根據 Foresight News,Wagyu 開發者 PerpetualCow 澄清,XMR1 代幣持有者可透過 Terminal 提款,而非使用先前的跨鏈 UI,否認近期 Rug Pull(拉地毯)指控。開發者表示,沒有使用者回報提款失敗,且交換介面已明確註明正確的提款方式。社群成員先前曾提出疑慮,認為 Wagyu 類似 Rug Pull,XMR 存入可能被鎖住,並出現 Honeypot(蜜罐)指標。XMR1 是由 Wagyu 在 Hyperliquid 發行的合成 XMR 代幣。
GateNews2小時前
叛徒 V1 Arbitrum 部署遭受攻擊,損失 209K 美元;白帽駭客歸還 190K 美元
根據 Renegade 於 X 上的官方聲明,該協議的傳統 V1 Arbitrum 部署在今早(5 月 11 日)遭到攻擊,造成約 209,000 美元的損失。一名白帽駭客已歸還約 190,000 美元,而團隊確認所有受影響的用戶都將獲得全額補償。 團隊確認,該漏洞僅存在於 V1 Arbitrum 部署;V1 Base、V2 Arbitrum 和 V2 Base 部署仍保持安全。所有支援 V1 Arbitrum 交易的基礎設施已暫停,從而消除了進一步的資金風險。
GateNews3小時前
USDT0 宣布 3/3 驗證機制以及 $6M 程式漏洞獎勵計畫,並在 Kelp 事件之後推出
根據 Foresight News,USDT0(Tether 的資產互通協議)在 Kelp 事件後公布安全架構細節。該協議採用具專有權的去中心化驗證者網路(DVN),並具備訊息否決權,且在跨鏈訊息結算前,需要基於不同程式碼基底的三名獨立驗證者達成 3/3 共識。現有驗證者節點包括 USDT0 的專有 DVN、LayerZero 和 Canary。USDT0 也已在 Immunefi 推出一項價值 600 萬美元的利潤漏洞獎勵計畫,合約經由 Guardian 與 OpenZeppelin 進行稽核。
GateNews4小時前
Microsoft 發現自 2025 年底以來針對 Exodus、Ledger 和 Trezor 錢包的 macOS 釣魚活動
根據 Microsoft 的資安研究團隊表示,從 2025 年底以來,攻擊者一直在包括 Medium、Craft 和 Squarespace 等平台上散布偽造的 macOS 疑難排解指南,以誘使用戶執行惡意的終端機指令。這些指令會下載並執行旨在竊取 Exodus、Ledger 和 Trezor 等加密貨幣錢包金鑰的惡意程式,並同時竊取 iCloud 資料以及 Chrome 和 Firefox 中保存的密碼。 涉及的惡意程式家族包括 AMOS、Macsync 和 SHub Stealer。某些情況下,攻擊者也會刪除合法的錢包應用程式,並用被植入木馬的版本取代。Apple 已在 macOS 26.4 中新增保護機制,用以阻止貼上可能具惡意的指令。
GateNews4小時前
LayerZero 就 Kelp DAO 受損事件發布公開道歉,承認 DVN 單一驗證者故障
根據 LayerZero 的說法,該協議於週五就 4 月 18 日的漏洞處理發布公開道歉。該漏洞從 Kelp DAO 的跨鏈橋中盜走了 2.92 億美元的 rsETH,這也標誌著其先前事故復盤文章的語氣出現重大轉變。LayerZero 承認,其去中心化驗證者網路(Decentralized Verifier Network,DVN)不應該成為高價值交易的唯一驗證者,並表示:「我們犯了錯,允許我們的 DVN 作為高價值交易的 1/1 DVN。」公司透露,北韓的 Lazarus Group 在同時啟動針對外部供應商的 DDoS 攻擊之際,已入侵其內部 RPC 節點,導致 DVN 被迫依賴遭毒化的基礎設施。 LayerZero 列出了修復步驟:其 DVN 將不再提供 1/1 設定,在可能的情況下,預設設定正遷移為至少需要五名驗證者;該公司也計畫使用 OneSig 將其多重簽名門檻從 3-of-5 升級為 7-of-10。此次漏洞影響了網路上約 0.14% 的應用程式,以及總資產的 0.36%;自 4 月 19 日以來,已有超過 90 億美元的資金透過該協議完成跨移動。
GateNews4小時前
