首例针对macOS的ClickFix攻击活动Malwarebytes研究人员发现名为Infinity Stealer的新型macOS信息窃取木马该木马使用Nuitka编译的Python载荷通过伪造Cloudflare验证页面诱骗用户执行终端命令进行传播。据Malwarebytes报告指出这是首次观察到针对macOS平台的此类攻击活动。报告指出虚假验证页面会诱导访问者打开终端Terminal粘贴特定命令并按回车键执行。命令一旦执行感染过程将立即启动。这种技术在Windows系统上已盛行多时如今攻击者将其适配到macOS平台并针对该系统调整了操作指引Command空格键打开终端粘贴命令。多阶段攻击链分析虚假Cloudflare验证页面会诱使用户粘贴获取第一阶段Bash投放器的终端命令。报告进一步说明首个载荷是Bash脚本其模板曾在MacSync早期研究中也被称为SHub等macOS窃密木马中出现过这表明攻击者可能使用了共享构建工具。该投放器会解码载荷、写入第二阶段二进制文件、移除macOS防护机制、执行该文件并传递C2命令与控制数据最后自我删除。第二阶段是由Nuitka编译的原生macOS加载器负责解压并运行最终的Python窃密程序。窃密功能与反检测机制最终载荷UpdateHelper[.]bin是基于Python 3.11的窃密程序能够收集浏览器凭证、钥匙串Keychain条目、加密货币钱包、.env配置文件以及屏幕截图并通过HTTP协议外泄数据。该程序具备分析环境检测能力并通过添加随机延迟来规避检测。数据外泄完成后会通过Telegram通知操作者并将凭证加入服务端破解队列。安全建议与应对措施Infinity Stealer的出现表明macOS已不再是低风险平台攻击者正在移植Windows风格的ClickFix技术并利用Nuitka规避检测。安全专家建议若执行过可疑终端命令应立即停止敏感操作通过干净设备修改所有密码撤销相关会话与密钥检查/tmp目录与LaunchAgents项使用反恶意软件进行全面扫描切勿直接粘贴网站提供的命令合法验证码从不要求此操作报告同时包含了该攻击活动的危害指标IOCs。