微新创想:2026年4月8日,Jamf公司披露Mac平台ClickFix攻击手法升级。攻击者不再诱导用户在终端粘贴命令,转而通过伪造的‘存储空间不足’网页,诱使用户点击触发applescript://URL协议,调起系统自带脚本编辑器执行恶意代码。该方式规避了macOS 26.4中新增的终端粘贴扫描机制。
恶意脚本经混淆后解码URL,用curl下载Atomic Stealer窃密载荷至/tmp并内存执行。此举暴露脚本编辑器路径的安全盲区,凸显社会工程学威胁持续演化。攻击者利用用户对系统内置工具的信任,绕过传统安全防护手段,增加了攻击隐蔽性和危害性。
此次攻击手法的变化表明,针对Mac系统的恶意行为正变得更加复杂和隐蔽。用户在面对看似无害的系统提示时,仍需保持警惕,避免因误操作而引发安全风险。同时,这也提醒安全研究人员和企业需持续关注新型攻击方式,及时更新防御策略。
对于普通用户而言,提高安全意识是防范此类攻击的关键。应避免点击来源不明的链接,尤其是那些声称系统出现异常或需要用户输入命令的页面。此外,定期检查系统日志和文件活动,有助于及时发现异常行为。
企业用户则需要加强终端安全管理,部署更全面的威胁检测系统。特别是在macOS系统更新后,攻击者可能利用新特性进行针对性攻击,因此必须确保安全策略能够覆盖所有潜在漏洞。同时,对员工进行定期的安全培训,提升其识别和应对社会工程学攻击的能力。
这一事件再次证明,网络安全威胁在不断演变,攻击者会根据系统防御机制的变化调整攻击手段。只有通过持续的技术升级和用户教育,才能有效降低被攻击的风险,保障系统和数据的安全。