ClickFix攻击升级：绕过苹果macOS 26.4防护，用脚本编辑器新路径投毒

就在昨天（4月8日），苹果设备管理和安全公司Jamf发布了一份新报告，揭示了一个值得警惕的趋势：针对Mac平台的ClickFix攻击手法已经升级。攻击者放弃了以往那种需要用户在终端里复制粘贴命令的“传统”模式，转而找到了一个新的突破口——系统自带的脚本编辑器。

说起ClickFix，安全圈应该不陌生。今年3月，就有报道披露了这种新型攻击手段：黑客通过伪造的人机验证页面，诱骗Mac用户安装恶意软件。但事情远未结束。安全研究人员指出，从2024年到2025年，ClickFix攻击的检测量激增了超过500%，它已经成为当前互联网上增长最快的社会工程学威胁之一。

那么，攻击是如何发生的呢？简单来说，受害者一旦访问了被攻陷的网站或点击了恶意广告，就会看到一个假的验证码页面。这个页面可不会让你认图片或者勾选框，它会指示你打开Mac自带的“终端”应用，并粘贴一段看起来相当复杂的命令来完成所谓的“验证”。正因为这种手法一度盛行，苹果公司在macOS 26.4更新中，特意引入了对终端粘贴命令的扫描机制，以期封堵这个漏洞。

然而，道高一尺，魔高一丈。攻击者迅速调整了策略。他们现在构建了伪装成苹果官方风格的恶意网页，谎称用户的Mac存储空间不足。页面上会有一个“执行”按钮，一旦点击，就会触发一个特殊的“applescript://”URL协议，直接调起系统里的脚本编辑器应用。

紧接着，浏览器会弹出一个看起来再常规不过的权限请求对话框。只要用户点击了“允许”，脚本编辑器便会加载并执行预先设置好的恶意代码。这种通过浏览器直接触发系统应用的模式，巧妙地利用了用户对系统内置工具的天然信任，使得攻击的成功率大幅提升。

恶意脚本在后台具体做什么呢？它会运行经过混淆处理的Shell命令，利用“tr”工具解码一个隐藏的URL，然后通过“curl”下载远程的恶意载荷，并直接通过管道传递给“zsh”在内存中执行。整个过程相当隐蔽。

这还没完。攻击的第二阶段会将一个Mach-O格式的二进制文件下载到系统的“/tmp”临时目录，在移除其扩展属性并标记为可执行后，立即启动它。Jamf的安全团队已经确认，这个最终载荷是Atomic Stealer窃密软件的变种，专门用于窃取系统内的敏感数据。

这次攻击的演变，实际上暴露了macOS安全防护中的一个潜在盲区。苹果之前的加固措施，重点放在了终端应用的命令粘贴执行流程上，但似乎未能完全覆盖“脚本编辑器”这一同样强大的系统脚本执行路径。攻击者正是钻了这个逻辑上的空子，把原本需要用户手动输入命令的繁琐步骤，转化成了浏览器里“一键触发”的流畅体验，让普通用户更难察觉到异常。安全攻防的博弈，看来从未停止。