ClickFix 攻击升级：绕过苹果 macOS 26.4 防护，用脚本编辑器新路径投毒

4 月 9 日消息，苹果设备管理和安全公司 Jamf 昨日（4 月 8 日）发布报告，称 Mac 平台 ClickFix 攻击手法升级，攻击者放弃传统的终端复制粘贴模式，转而利用系统自带的脚本编辑器作为突破口。

曾于今年 3 月报道，有黑客发起名为 ClickFix 的新型攻击手段，通过虚假人机验证页面诱骗 Mac 用户安装恶意软件。

安全研究人员指出，ClickFix 攻击的检测量在 2024 年至 2025 年间激增了超过 500%，现已成为互联网上增长最快的社会工程学威胁之一。

受害者访问被攻陷的网站或点击恶意广告后，会看到伪造的验证码页面。不同于常规的图片识别或勾选框，该页面指示用户打开系统自带的“终端”工具，并粘贴一段看似复杂的命令以完成“验证”。因此苹果公司在 macOS 26.4 更新中，引入粘贴命令扫描机制，从而规避此类风险。

而攻击者也调整分发策略，攻击者构建了伪装成苹果官方风格的恶意网页，谎称用户 Mac 存储空间不足。页面诱导用户点击“执行”按钮，触发 applescript://URL 协议，直接调起脚本编辑器应用。

浏览器随即弹出看似常规的权限请求，一旦用户点击允许，脚本编辑器便会加载预置的恶意代码。这种浏览器触发系统应用的模式，利用了用户对系统工具的信任心理，大幅提升了攻击成功率。

恶意脚本在后台运行经过混淆处理的 Shell 命令，利用 tr 工具解码隐藏 URL，通过 curl 下载远程载荷，并直接通过管道传递给 zsh 在内存中执行。

攻击的第二阶段会将 Mach-O 二进制文件下载至 / tmp 目录，移除扩展属性并标记为可执行后启动。Jamf 安全团队确认该载荷为 Atomic Stealer 变种，专门窃取系统敏感数据。

此次攻击暴露了 macOS 安全防护的盲区。苹果此前重点加固了终端的粘贴执行流程，但未完全覆盖脚本编辑器这一执行路径。攻击者正是利用这一逻辑漏洞，将原本需要手动输入命令的繁琐步骤，转化为浏览器一键触发的流畅体验，让用户更难察觉异常。