伪造系统修复教程成新型窃密入口，用户主动执行触发漏洞

近期，网络犯罪分子通过多个内容分发平台发布伪装为macOS故障排除教程的恶意页面，诱导搜索磁盘清理或系统错误修复的用户下载并运行恶意代码。这些伪装内容引导用户在终端中输入特定指令，从而触发恶意载荷的自动下载与执行。

利用终端权限绕过系统防护，实现隐蔽部署

该类攻击自2025年末起持续活跃，主要针对关注系统维护的Mac用户群体。由于操作由用户手动发起，系统内置的Gatekeeper机制不会对执行命令进行签名验证，导致恶意程序得以绕过常规安全检测，完成初始植入。

多组件协同运作，构建持久化数据窃取链

调查发现，攻击者部署了三类相互关联的恶意模块：初始加载器、执行脚本与辅助工具。它们共同构成完整攻击链条，可远程收集用户敏感信息，包括私人文档、照片、浏览器保存凭证，并从主流加密货币钱包扩展中提取私钥。部分样本还能窃取Telegram账户数据，实现跨平台信息泄露。

伪造认证提示诱导密码输入，获取系统完全控制权

在安装过程中，恶意程序会模拟系统对话框，谎称需输入管理员密码以安装“安全增强工具”。一旦用户输入，攻击者即获得对文件系统和配置设置的全面访问权限。更严重的是，有案例显示正版加密货币钱包被替换为具备监控交易与盗取资金功能的木马版本，直接威胁资产安全。

攻击方式进化：内存驻留与智能规避机制并行

恶意载荷采用系统原生工具在内存中直接运行，避免写入磁盘，显著提升传统杀毒软件的检出难度。同时，其内置地理识别逻辑——当检测到俄语键盘布局时将立即终止运行，表明攻击者具备精准的目标筛选能力。

攻击路径多元化，人工智能助力供应链渗透

除虚假技术文章外，攻击者正转向更具隐蔽性的策略，如伪造会议邀请、入侵开源项目开发流程等。最新发现显示，某黑客组织利用人工智能生成代码变更，将恶意包嵌入合法加密货币交易项目中，通过双层封装结构隐藏真实意图，实现对钱包密钥与系统凭据的深度窃取。