加密圈里最近最烦人的事儿又来了,这次直接冲着Mac用户下手。The Hacker News爆出,三波ClickFix式攻击把MacSync这个macOS信息窃取器塞进了假AI工具的安装流程里。用户一不留神,就把自家钱包种子词、密钥、文件全打包送给黑产了。
第一波发生在2025年11月。攻击者买谷歌搜索广告,关键词瞄准“OpenAI Atlas浏览器”。点进去是个假Google Sites页面,下载按钮一按就弹出终端命令。用户复制粘贴到Terminal,回车后输入系统密码,shell脚本就悄悄拉取MacSync,以普通用户权限运行。整个过程零漏洞利用,全靠社会工程。
第二波12月更阴。黑客劫持“how to clean up your Mac”这类搜索的赞助链接,把受害者引到正版ChatGPT对话页面。页面里嵌入恶意跳转,落地页伪装成GitHub风格,照样教你打开终端跑命令。看起来安全,实际一步步把MacSync送上系统。
第三波今年2月最狠,覆盖比利时、印度、北美南美部分地区。新版MacSync用动态AppleScript载荷+内存执行,静态分析直接抓瞎,行为检测也难抓。shell脚本先连硬编码服务器拉payload,一边偷数据一边擦痕迹。能薅的包括凭证、keychain数据库、加密钱包种子短语,基本把高价值资产一锅端。
Sophos研究团队直言,这帮人明显在针对macOS和安全工具的更新做调整。以前ClickFix靠假验证码、假错误提示,现在直接伪装成正经软件安装。用户想装个AI代码助手、Claude Code、Anthropic工具,结果curl | sh的命令被替换成恶意版。开发者最爱这个安装方式,Homebrew、Rust、nvm全这么来,黑客就藏在明处。
Pillar Security统计,2-3月至少20个恶意活动盯上AI和vibe coding工具。其中9个跨Windows/macOS,7个专攻macOS。原因简单:AI开发者用Mac的比例高,Mac用户手里往往握着SSH key、云token、加密钱包,单次命中价值远超Windows散户。BTC现报$73,800(24h +2.90%),ETH现报$2,296(24h +8.45%),行情热的时候被偷种子词,损失动辄几十上百万美元。
不止MacSync一家受害。Guardio Labs看到类似链条送Alien Stealer上Windows,Atomic Stealer上macOS。Push Security把这类攻击叫InstallFix,核心区别就是不需要编造错误提示,用户自己想装软件,攻击者顺水推舟。Pillar研究员Eilon Cohen一针见血:curl | sh对开发者太熟悉了,恶意命令混进去根本不显眼。
更广的趋势是,ClickFix已经成多团伙标配。KongTuke这个恶意流量分发系统,用被黑WordPress站注入JS,弹出PowerShell命令跑ModeloRAT。还玩起CrashFix,骗你装恶意浏览器扩展。Trend Micro抓到他们用DNS TXT记录藏命令,针对企业域环境,先扫安全软件再下手。
Rapid7上周报告更吓人。从2025年12月起,250+高信誉WordPress站被黑,注入假Cloudflare人机验证ClickFix。受害国家横跨12个,包括美国、英国、德国、印度。最终送StealC、Vidar升级版、Impure Stealer、VodkaStealer等。被盗数据直接变现或当跳板搞金融盗窃。
macOS用户现在最该干的事儿就是:看到任何叫你打开Terminal粘贴命令的页面,直接关掉。别管它包装得多像OpenAI、Anthropic、Claude正版。开发者尤其警惕,装工具前先看官方源,少走捷径。安全软件常更新,终端命令永远别盲信。毕竟现在黑客连ChatGPT对话都能劫持,谁还敢随便信网页上的一串代码?
这波攻击提醒大家,AI热潮下,工具安装链条成了最脆弱的一环。钱包种子词一旦泄露,追回基本无望。保护资产,先从不乱跑陌生命令开始。