Mac 假工具呃你貼 Terminal 指令:ClickFix 點偷密碼兼留後門
3C 產品

Mac 假工具呃你貼 Terminal 指令:ClickFix 點偷密碼兼留後門

圖片:via 9to5Mac — https://9to5mac.com/2026/07/18/macos-clickfix-campaign/
TechLab 編輯部(譯)·

假 GitHub 頁面加假系統提示,靠用家親手繞過 macOS 防線

Netskope Threat Labs 追蹤到一輪針對 macOS 嘅 ClickFix 攻擊,最值得留意嘅地方係成件事冇靠 macOS 漏洞。假網站會扮 Mac 清理工具、GitHub repository,甚至當地 IT 支援公司,再叫你撳「Copy」同將所謂修復指令貼入 Terminal。當你親手執行嗰行指令,macOS 原本用嚟阻止陌生程式嘅幾道門,就已經俾你自己打開咗。

假修復指令其實做緊咩

網頁會用瀏覽器嘅 Clipboard API 將一大段指令放入剪貼簿。用家貼落 Terminal 後,第一段程式會即場解碼,再下載 AppleScript 直接放入記憶體執行;中途大部分內容都唔會以普通檔案形式留喺硬碟。Terminal 好快關閉亦唔代表冇事,惡意程式可以轉到背景繼續行。呢種 fileless 做法令一般「搵可疑下載檔」嘅檢查冇咁有效。

Netskope 話呢輪活動輪流用過多個短命誘餌域名,受影響流量主要來自亞洲、北美同大洋洲,科技、媒體同商業服務行業較突出。報告冇香港感染數字,亦冇證據話攻擊者專攻香港,所以唔應講成香港爆發;不過公司 Mac 可以開 Terminal、又有開發人員慣咗由 GitHub 複製安裝指令,呢套手法確實容易令人放低戒心。

Netskope macOS ClickFix 惡意程式研究報告主圖

圖片:Netskope Threat Labs

密碼視窗識郁,唔代表係系統彈出

第二階段 AppleScript 會扮 macOS 系統設定彈出密碼視窗,用真正嘅系統圖示增加可信度。輸入嘅登入密碼會即場驗證,錯咗仲可以再問,呢個反應好容易令人以為視窗係真。密碼一旦到手,攻擊者可用佢解鎖登入 Keychain,再收集 Chrome、Brave、Edge、Firefox、Safari 等瀏覽器嘅登入資料、cookies、瀏覽紀錄同部分擴充功能資料。

任何網站叫你複製一段睇唔明嘅長指令落 Terminal,都應該當成高危。 特別係內容經過長串編碼、下載後直接交畀另一個工具執行、要求輸入 Mac 密碼,或者聲稱唔做就掃描唔到、更新唔到,全部都係警號。真 GitHub 版面亦唔等於真 GitHub 網址;先核對 address bar、開發者官網同 repository 歷史,唔好只睇頁面似唔似。

錢包 app 開得返,一樣可能出事

Netskope 分析到惡意程式會針對 Exodus、Atomic Wallet、Ledger Wallet、Ledger Live 同 Trezor Suite,關閉原本嘅 app,再替換 Electron app bundle 入面嘅 app.asar,之後重新簽署。修改過嘅錢包仍然可以正常開啟,所以「個 app 冇彈警告」唔足以證明安全。研究人員未取得替換後嘅 app.asar暫時唔可以斷言佢會點攔截交易、助記詞或者地址,能夠確認嘅只有檔案替換行為。

呢點亦拆穿咗一個常見誤會:Gatekeeper 主要處理 app 首次下載同開啟時嘅信任問題,唔係每次啟動都替你證明 app 內容從未俾人改過。攻擊者今次利用系統內置工具同用家授權做事,冇 zero-day 都可以走得相當深入。對公司 IT 嚟講,應該先阻截假網站,同提醒用家唔好照貼指令,唔好等到 endpoint 掃到惡意檔案先處理。

中招後先斷網,再查假 accountsd

如果你曾經喺可疑頁面複製指令、貼入 Terminal,或者之後見過古怪嘅系統密碼提示,先斷開網上連線;公司機就立即交畀 IT 或保安團隊,唔好自行清走證據。Netskope 指惡意持久化項目會冒認 com.apple.accountsd,相關線索包括 LaunchAgent 或 LaunchDaemon、/Library/Application Support/.com.apple.accountsd/ 目錄,同 /tmp/shub_ 開頭嘅暫存路徑。

accountsd 呢個名本身同 Apple 正常服務相似,唔好見到個名就亂刪系統檔案;要一併核對檔案路徑、簽署、建立時間同網上連線紀錄。因為呢個後門可以定時接收同執行新指令,單靠刪除一個啟動項未必足夠。高風險個案應由 IT 保留紀錄後完整清機及重裝 macOS,再由乾淨備份逐步還原。

密碼同錢包要當已經失守

用另一部可信裝置更改 Mac 登入密碼、Apple Account、電郵、公司帳戶同瀏覽器曾儲存嘅重要密碼,撤銷現有登入 session,再重設多重認證。受影響嘅桌面錢包要刪除後由官方來源重新安裝;如果助記詞、私鑰或錢包密碼曾經喺嗰部 Mac 出現,應按錢包供應商指引,用乾淨裝置建立新錢包同轉移資產,舊助記詞唔好再用。

呢輪基建轉得快,六月報告列出嘅域名到七月未必仍然有效,所以只靠舊 IOC 黑名單會有盲點。最實際嘅防線仍然係一條簡單規矩:網站、客服或所謂技術文件突然叫你貼 Terminal 指令,就先停手核實;如果部 Mac 裝咗 Ledger、Trezor、Exodus 等桌面錢包,就更加唔好冒險照貼指令。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook