macOS用戶正被"磁盤清理"陷阱盯上：一條命令就能偷光你的密碼和加密錢包

你以為只有Windows用戶才會被流氓軟件騷擾？微軟的安全團隊最近盯上了一波專門針對macOS的攻擊，手法簡單到令人警惕——騙子們把惡意代碼包裝成"磁盤清理工具"和"系統(tǒng)修復指南"，誘導用戶親手把賊放進門。

這波攻擊有個代號叫ClickFix。攻擊者會在Medium、Craft這些看起來人畜無害的內(nèi)容平臺上發(fā)布假的故障排查帖，標題和正文都模仿蘋果官方支持文檔的風格。帖子通常瞄準macOS用戶的常見焦慮：磁盤空間不足。解決方案？打開終端，粘貼一條命令。

命令執(zhí)行后，后臺會靜默下載并運行信息竊取程序。用戶全程看不到任何彈窗或警告，直到發(fā)現(xiàn)自己的iCloud數(shù)據(jù)、瀏覽器保存的密碼、鑰匙串記錄、甚至加密貨幣錢包密鑰已經(jīng)不翼而飛。

微軟從2026年1月就開始追蹤ClickFix的演變，目前已經(jīng)識別出三種不同的攻擊變體，核心目標完全一致：竊取敏感數(shù)據(jù)、在受感染設(shè)備上維持持久訪問權(quán)限。被盜數(shù)據(jù)清單長得驚人——除了密碼和錢包密鑰，還包括Telegram聊天記錄、媒體文件，某些版本甚至會直接把合法的Trezor Suite、Ledger Live、Exodus等錢包應用替換成攻擊者控制的假版本，從此每一筆交易都在對方眼皮底下進行。

最棘手的是這套攻擊繞過了macOS的Gatekeeper機制。正常情況下，macOS會對準備運行的應用做安全驗證，但終端里直接粘貼執(zhí)行的命令根本不走這道流程，攻擊者幾乎零阻力就能在設(shè)備上扎根。

三種攻擊變體的技術(shù)路徑各有側(cè)重。"加載器"變體會用shell腳本收集系統(tǒng)信息，比如鍵盤區(qū)域設(shè)置和操作系統(tǒng)版本，然后聯(lián)系攻擊者控制的服務器；"腳本"變體更狡猾，它會先搜索可用的命令控制服務器，如果找不到就自動 fallback 到Telegram機器人來動態(tài)定位；第三種"輔助程序"變體則會部署一個名為helper或update的隱藏可執(zhí)行文件，每次設(shè)備重啟都會自動運行，建立持久后門。

誘餌內(nèi)容的制作相當精細。假Medium博客的域名比如macos-disk-space[.]medium[.]com，頁面排版和措辭都在模仿真正的macOS支持指南。Craft筆記平臺和一批獨立網(wǎng)站也被利用，域名聽起來官方且可信，降低用戶的戒備心。

整個攻擊鏈條的起點就是那條被粘貼進終端的命令。它會解碼一段隱藏腳本，觸發(fā)后續(xù)的多階段加載。由于macOS用戶長期以來相對"安全"的認知慣性，這類社會工程學攻擊的成功率可能遠高于針對Windows用戶的傳統(tǒng)手段——畢竟，誰會想到一篇看起來專業(yè)的Medium技術(shù)文章，竟然是精心設(shè)計的釣魚陷阱？

目前微軟的持續(xù)追蹤仍在進行。對于普通用戶而言，最基礎(chǔ)的防御原則依然有效：無論教程看起來多權(quán)威，永遠不要隨意把不明來源的命令粘貼進終端。