诱导苹果 Mac 用户执行假冒 Homebrew 安装指令，恶意代码诱导最新骗术曝光

3 月 31 日消息，据科技媒体 Apple insider 昨天报道，互联网上最近出现了一种针对苹果 Mac 用户的最新骗术，利用普通人“信任搜索引擎第一条结果”的心理，在垃圾广告网站暗藏假冒 Homebrew 安装程序代码。

注：Homebrew 是一款开源软件包管理系统，用于简化苹果 macOS 系统的软件安装过程，类似 Linux 系统的 APT、YUM 等。

据报道，这种骗术的根源是骗子在谷歌购买搜索引擎推广服务，只要给钱就可以将伪造的 Homebrew 官网置顶展示在真官网之上，然后诱导用户执行一条恶意的终端命令。

这种骗术之所以有效，是因为安装 Homebrew 本来就需要在终端粘贴、回车一条指令，因此从逻辑链条上看并没有什么异常。用户也不会在这时候起疑心，反而会放松警惕。攻击者正是利用这种信任感，在几乎一致的执行流程里暗藏恶意代码。

从仿冒网站我们可以看到，这段恶意指令采用 Base64 编码，不太懂计算机的人看不出有什么异样。但只要你把它粘贴到终端里执行，代码就会被解码并安装恶意软件。

研究人员将这种恶意荷载与专门窃取浏览器数据、账号凭证以及加密货币钱包的恶意软件 Atomic macOS Stealer 关联，认为网络攻击正在由“利用漏洞”转向“诱导用户主动执行恶意代码”演进。

并且这种攻击方式完全是利用了人本能的“信任”，一个看似官方的网站再加上熟悉的安装流程，本身就足以降低人的警觉。而攻击者还能频繁更换马甲域名，使监管变得困难。

因此，避免这种骗术发生的最好手段就是不用搜索引擎去找 Homebrew，直接在地址框输入官网链接（brew.sh）或使用书签。并且在安装软件前一定要核查网站是否为真正官网，看到一串无法辨认的 Base64 指令时也要仔细检查。