夜雨聆风这里每天分享一个 iOS 的新知识,快来关注我吧
前言
2026 年 Q1 的 Mac 安全报告出来了,有句话让我看完半天没缓过来:攻击者基本已经不怎么“破门”了,改成让你亲手开门放行。
ClickFix:现在已经是默认入侵方式了
ClickFix 你可能听过,就是那种弹个假报错或假 CAPTCHA,让你把一段命令粘贴进 Terminal 运行的套路。
根据微软 2025 年数字防御报告,它占了全年所有初始入侵手法的 47%。MacPaw 旗下安全研究机构 Moonlock Lab 的数据更吓人:2025 年,装了他们软件的 Mac 用户里,66% 遭遇过至少一次威胁,ClickFix 排第一。
它不是某个具体病毒,而是一整套社工手法。命令是你自己粘贴、自己运行的,系统当然会觉得这是合法操作,这不就是它最麻烦的地方?技术上它也确实是。
诱饵越来越难分辨
这季度见到的诱饵花样多得让人头皮发麻。
假 CAPTCHA、伪造的“清理 Mac 磁盘空间”页面、仿冒 ChatGPT 和 Atlas 浏览器的恶意安装包、针对加密钱包的山寨安装器、假冒 Claude Code 等工具的配置引导页,甚至还有人直接劫持 Google Ads,把恶意指引顶到搜索结果最上面。
还有个变种叫 CrashFix,伪装成广告拦截扩展,先把你浏览器搞崩,再走一套“恢复教程”,最后让你跑个 payload。这套流程设计得很顺,换我没见过,真不一定反应得过来。
最后跑出来的 payload,几乎清一色是信息窃取器,大多数还带着 Atomic Stealer(AMOS)的代码痕迹。
苹果补了个丁,两周后就被绕过
macOS Tahoe 26.4 加了个新防御:往 Terminal 粘贴可疑命令时会弹出警告。
这个功能只撑了大概两周。Jamf Threat Labs 记录到一个新变种,完全绕过 Terminal,改用伪造的苹果页面 + applescript:// URL,直接把恶意脚本预载进 Script Editor。命令没经过 Terminal,警告自然不会触发。
这段猫鼠游戏,估计永远不会停。
木马和窃取器开始“二合一”
Jamf 2026 Security 360 报告里有个数据很该盯着看:木马在 Mac 恶意软件里的占比,从 2024 年的 16.61% 跳到了 2025 年的 50.32%,直接成了最大类别。
Atomic Stealer 一家独大,同时占了木马活动的 77% 和信息窃取器活动的 78%。原因也很直接:现在的窃取器流行在偷完数据后顺手留个后门,下次不用再钓鱼了。
逆向工程师 Chris Lopez 跟我聊这个话题时说,现在打开一个样本,代码一团乱麻,他自己都不想分析,直接跑一下看行为。复杂程度确实不是以前那样了。
新样本:杀毒检测不出来
这季度出现的新恶意软件,基本没有杀毒软件能检测到。
Jamf 发现了 DigitStealer,只在 M2 及更新芯片上运行,主要在内存里操作。还有 ChillyHell,一个经过苹果公证的后门,从 2021 年就藏着了。
Mosyle 检测到两个之前完全没人见过的样本并分享了详情。Phoenix Worm 是个 Golang 写的第一阶段 loader,负责建立据点并交棒。
ShadeStager 是第二阶段,专门薅 SSH 密钥、AWS/Azure/GCP 凭证、Kubernetes 配置、Git 和 Docker 认证,直接冲着开发者机器去的。谁还记得以前大家总觉得 Mac 不太会中招?还有 MonetaStealer,一月份被发现,据称是 AI 辅助开发,同样零检测率。
开发者要小心了
“我最近看到很多开发者被针对,这很有意思,因为这是进入更复杂攻击链的入口。”Chris Lopez 这句话让我印象很深。
开发者机器上有什么?私钥、云服务 token、内部代码库权限、CI/CD 访问……拿下一台开发者的 Mac,后续能做的事情远不止偷几个密码。
说回来,iOS 那边这季度基本没出什么大事,苹果的围墙花园还是挺给力的。
Mac 这边才是真正的战场。
最后
你平时有没有担心过自己的 Mac 安全?评论区聊聊,看看大家都怎么防的。
这里每天分享一个 iOS 的新知识,快来关注我吧
