你正在浏览网页,突然弹出一个苹果风格的提示——"存储空间不足"。熟悉的界面、官方的措辞,你下意识点了"执行"。三秒后,浏览器请求调用系统工具,你想都没想就点了允许。这套流畅到近乎自然的交互,正是攻击者精心设计的陷阱。

从终端到脚本编辑器:攻击路径的迭代

打开网易新闻 查看精彩图片

今年3月,ClickFix攻击首次进入公众视野。黑客伪造人机验证页面,诱骗Mac用户打开终端、粘贴恶意命令。这种"复制-粘贴"模式依赖用户主动操作,门槛不低。

苹果反应迅速。macOS 26.4更新中,系统开始扫描终端粘贴的命令内容,试图阻断这一链条。据Jamf报告,这一补丁确实让传统路径失效。

但攻击者没有退场,只是换了扇门。4月8日,Jamf披露最新变种:攻击者放弃终端,转而利用macOS自带的脚本编辑器作为突破口。

一键触发的流畅陷阱

新攻击的核心设计极具迷惑性。恶意网页伪装成苹果官方风格,谎称存储空间不足。页面中央放置一个醒目的"执行"按钮——点击后触发applescript://协议,直接调起脚本编辑器。

浏览器随即弹出权限请求。这个弹窗看起来与日常软件授权无异,用户极易习惯性点击"允许"。一旦放行,脚本编辑器加载预置代码,整个流程无需用户再输入任何内容。

Jamf安全团队分析,这种"浏览器→系统应用"的跳转模式,利用了用户对原生工具的信任惯性。相比终端里密密麻麻的命令行,图形化的脚本编辑器显得更"安全"、更"官方"。

内存执行与数据窃取的技术链条

恶意脚本的后台动作经过精心设计。它运行经过混淆处理的Shell命令,用tr工具解码隐藏URL,通过curl下载远程载荷,再直接管道传递给zsh在内存中执行——全程不落硬盘,规避传统文件扫描。

第二阶段,攻击将Mach-O二进制文件下载至/tmp目录,移除扩展属性、标记可执行后启动。Jamf确认该载荷为Atomic Stealer变种,专门窃取系统敏感数据。

这套技术架构的阴险之处在于:它把原本需要用户手动输入的多步操作,压缩成浏览器内的一键触发。流畅度本身就是武器。

防护盲区的结构性暴露

此次升级揭示了macOS安全架构的深层张力。苹果加固了终端的粘贴执行流程,却未同步覆盖脚本编辑器的调用路径。攻击者敏锐捕捉到这一逻辑缝隙——当一条通道被封锁,相邻的替代路径立刻成为薄弱环节。

更值得玩味的是用户心理层面。终端自带"技术门槛"的威慑感,而脚本编辑器作为图形化工具,反而消解了这种警觉。攻击者不是在破解系统,是在破解人对系统的认知惯性。

数据显示,ClickFix攻击的检测量在2024年至2025年间激增超过500%,已成为互联网增长最快的社会工程学威胁之一。这个数字背后,是攻击者持续迭代的产品思维:每一次系统补丁,都是下一轮攻防的迭代起点。