Infiniti Stealer恶意软体透过伪造的Cloudflare CAPTCHA页面传播,目标是macOS上的加密货币资产和敏感数据,预计到2025年,背景产业的损失将达到34亿镁。
来自Malwarebytes的安全研究人员刚刚发现了一项针对 macOS 上加密资产用户的新攻击活动,该活动使用模仿 Cloudflare 验证介面的仿盘CAPTCHA 页面来分发名为 Infiniti Stealer 的数据窃取软体。
这次攻击活动令人担忧之处在于其感染机制:攻击者不是挖矿系统漏洞,而是诱骗用户自行执行恶意命令,这种技术称为 ClickFix,在 Windows 系统中很常见,但目前正被用于攻击苹果生态系统。
macOS 已不再是抵御窃取加密资产的恶意软体的安全区。
这次攻击过程经过精心设计,旨在绕过传统防御措施。使用者造访一个网域名称伪装成更新检查服务的网站,该网站会显示一个与 Cloudflare 完全相同的验证码介面。点击确认后,页面会要求使用者打开终端机并贴上一条命令,这被当作标准的验证步骤。
这条指令本质上是一个隐藏的安装脚本,它会连接到远端控制伺服器,下载并部署 Infiniti Stealer 恶意软体,且不会显示任何警告。该恶意软体被编译到 macOS 原生二进位档案中,而非易于阅读的脚本中,这使得分析和检测变得更加困难。
入侵成功后,Infiniti Stealer 会提取加密货币资产数据、浏览器登入凭证、macOS 钥匙圈数据、开发者文字档案以及执行过程中截取的萤幕截图。该恶意软体还集成了检测分析环境的机制以避免被检测到,并在提取完成后透过 Telegram 发送通知,并将收集到的登入凭证添加到伺服器端的密码破解伫列中。
这并非个案。去年三月,一款名为 GhostClaw 的恶意软体透过流行的 JavaScript 套件管理器 npm 传播,伪装成名为 OpenClaw 的合法工具,发起多阶段攻击以窃取私钥和钱包存取权。在 178 位开发者下载后,该恶意软体被移除。
更广阔的视角揭示了这一趋势的严重性:根据 Chainalysis 的数据,个人钱包泄漏事件占被盗总金额的比例从 2022 年的 7.3%上涨2024 年的 44%,而 2025 年整个行业的损失总额将达到 34 亿镁。
对于 macOS 用户来说,最简单的建议做法是绝对不要从任何未经验证的来源将命令贴上到终端中。
