加密貨幣用戶正面臨一種新的安全威脅,即透過偽造的 Cloudflare 驗證碼頁面發動攻擊。這種攻擊會導致安裝一種名為 Infiniti Stealer 的新型資訊竊取程序,該程序旨在從 macOS 系統中竊取加密貨幣錢包資料。
這意味著任何擁有 MacBook 或 Mac 桌上型電腦的開發者或加密貨幣用戶都有可能感染這種惡意軟體。
ClickFix攻擊引發macOS系統感染
Malwarebytes 的安全研究人員發現了這次攻擊活動。該惡意軟體的操作面板隨後被曝光,其名稱為「無限竊取者」(Infinite Stealer)。
資訊竊取程式透過 ClickFix 攻擊傳播。 ClickFix 攻擊屬於社會工程攻擊,它誘騙使用者自行執行惡意指令。該攻擊並非直接入侵您的計算機,而是說服您替他們執行操作。
攻擊始於一個來自 update-check[.]com 的偽造驗證碼頁面。該頁面看起來像是 Cloudflare 的人工驗證頁面,但實際上並非如此。點擊偽造的驗證碼後,使用者會被指示打開終端機並貼上一條命令。
該命令並非驗證命令,而是一個隱藏的安裝腳本,用於下載惡意軟體並在用戶電腦上運行。
這種攻擊之所以有效,是因為使用者執行了該指令。由於沒有漏洞利用,因此可以繞過傳統的防禦措施。
命令執行後,它會連接到攻擊者控制的遠端伺服器,該伺服器會下載 Infiniti Stealer 並將其靜默安裝到 Mac 上。沒有彈出窗口,沒有警告,就是靜默安裝。
安全研究人員表示,由於這種惡意軟體被編譯成 macOS 原生二進位文件,因此很難分析和檢測。它並非易於閱讀和理解的 Python 腳本。
該惡意軟體旨在竊取 Mac 電腦中的敏感數據,包括加密錢包數據、瀏覽器和 macOS 鑰匙串中的憑證、開發者文件中的明文秘密,甚至包括執行過程中捕獲的螢幕截圖。
它還會檢查自身是否運行在分析環境中以避免被偵測到,並將竊取的資料傳送到攻擊者的伺服器。資料擷取完成後,攻擊者會收到 Telegram 通知,而擷取的憑證則會被排隊等待伺服器端的密碼破解。
ClickFix攻擊在Windows系統上很常見,但現在駭客正將其應用於蘋果設備。 macOS系統已不再被認為是安全的,容易受到惡意軟體的攻擊。加密貨幣使用者在瀏覽網頁時應格外謹慎,切勿將來自不可信來源的命令貼到終端中。
加密貨幣個人錢包洩漏事件急劇增加
這並非針對macOS加密貨幣用戶的首例複雜攻擊。 Cryptopolitan曾在3月報道GhostClaw,這是一款新型macOS惡意軟體,能夠竊取私鑰、錢包存取權和其他敏感資料。
該惡意軟體已上架 npm(一款流行的 JavaScript 套件管理器)。它偽裝成真正的 OpenClaw 工具,但實際上卻發動了多階段攻擊。在惡意軟體被從註冊表中移除之前,共有 178 位開發者下載了該軟體包。
2025年,加密貨幣產業共被盜金額達34億美元。
根據區塊鏈安全公司 Chainalysis 的報告,「個人錢包被盜事件大幅增加,從 2022 年僅佔被盜總價值的 7.3% 增加到 2024 年的 44%」。
如果不是因為Bybit攻擊造成了巨大的影響,到 2025 年,個人錢包被駭客攻擊的規模將達到 37%。
