伪装系统修复指南的新型网络钓鱼活动浮出水面

近期多起安全事件揭示，攻击者正通过主流内容分发平台传播假扮macOS故障解决教程的恶意内容。这些诱导性文章引导用户在终端输入特定指令，从而触发远程加载器，安装可窃取iCloud凭证、浏览器保存密码及加密货币钱包私钥的后门程序。

利用终端执行规避系统防护机制

该类攻击自2025年末起持续活跃，主要瞄准搜索磁盘清理或系统报错解决方案的Mac用户。攻击页面设计高度仿真，诱使用户复制并运行终端命令，由于操作由用户主动发起，系统默认的Gatekeeper签名验证机制无法介入拦截。

三阶段渗透架构暴露深层威胁链

调查发现，攻击者部署了三类协同运作的恶意组件：初始加载器、执行脚本与辅助工具模块。它们能实现敏感信息采集、持久化驻留、远程通信等功能。相关恶意家族具备从Telegram账户中提取聊天记录、截取小于2MB的个人文档与图像，并从主流加密钱包扩展中剥离私钥的能力，同时可抓取浏览器内存储的登录凭据。

在安装过程中，恶意程序会伪造系统对话框，谎称需输入管理员密码以“完成安全组件安装”，一旦获取权限，即可全面访问用户文件系统与系统配置。个别案例中，攻击者已将合法加密钱包应用替换为可监控交易行为并自动转移资金的木马版本。

攻击模式演进凸显隐蔽性升级

恶意载荷采用系统原生工具在内存中直接执行，实现无文件运行，极大增加传统端点检测工具的识别难度。此外，部分样本内置地理规避逻辑——当检测到俄语键盘布局时将立即终止自身进程，暗示其目标区域具有特定选择性。

针对数字资产领域的攻击手段日益多样化。除虚假技术文章外，攻击者还借助伪造会议邀请、入侵开源项目开发流程等路径实施渗透。最新发现的黑客组织运用人工智能生成代码变更，将恶意包嵌入真实加密货币交易项目中，通过双层封装结构绕过审查，成功获取钱包密钥与系统级认证信息。

整体来看，攻击者正从单纯的内容欺诈转向融合人工智能与供应链污染的复合型攻击，其核心目的始终聚焦于获取高价值的加密资产控制权，反映出网络犯罪生态的深度进化趋势。