Cloudflare验证码被山寨：3.2万Mac用户差点把密码交

去年第四季度，Malwarebytes的威胁狩猎团队在例行扫描中发现了一个异常信号：一批从未见过的macOS二进制文件正在通过非常规渠道传播。当时他们内部代号为"NukeChain"，没人想到这会揭开一场针对Mac用户的大规模钓鱼行动。

就在团队准备公开披露的前几天，意外发生了。攻击者的运营后台突然暴露在公网上——这个低级失误让分析师们第一次看到了控制面板的真容，也确认了 malware 的正式名称：Infiniti Stealer。

这不是某个脚本小子的业余作品。从后台结构来看，这是一场有组织、持续运营的针对性行动，目标明确指向macOS用户群体。

ClickFix：一个被低估的社会工程陷阱

Infiniti Stealer的核心武器叫ClickFix，翻译过来就是"点击修复"。这个名字听起来像某种系统工具，实则是钓鱼界的老把戏——诱导用户亲手执行恶意命令。

攻击流程设计得相当精巧。用户被引流到域名update-check[.]com，映入眼帘的是一个几乎以假乱真的Cloudflare人机验证页面。界面、配色、字体、甚至加载动画，都和正版相差无几。

页面中央只有一个简单的指令：打开终端（Terminal），粘贴下方代码，按回车。

对普通用户来说，这步操作毫无违和感。毕竟，哪个没遇到过"验证你是人类"的弹窗？但这一次，按下回车的瞬间，感染链就启动了。

整个过程中没有漏洞利用，没有恶意下载，没有钓鱼附件。攻击者赌的就是用户对"验证码"三个字的条件反射式信任。这种信任一旦被利用，macOS内置的安全机制形同虚设——因为命令是用户自己输入的。

Malwarebytes在分析报告中指出，这是首个被完整记录的macOS攻击案例，将ClickFix投递方式与Nuitka编译的Python窃取器结合使用。技术组合的新颖性，让传统安全软件的检测难度大幅提升。

三阶段渗透：从终端到Keychain的完整路径

Infiniti Stealer的执行分为三个明确阶段，每个阶段都针对macOS的特性做了优化。

第一阶段是Bash投放脚本。Malwarebytes发现这个脚本使用了与早期macOS窃取器MacSync相同的模板，暗示背后可能存在共享的恶意软件生成工具。脚本的功能很直接：解码内嵌的载荷，将下一阶段二进制文件写入/tmp目录，移除macOS的隔离属性（quarantine），然后用nohup命令静默运行。

收尾动作同样干净。脚本自我删除，同时通过AppleScript关闭终端窗口。受害者屏幕上不会留下任何异常痕迹，仿佛刚才只是进行了一次普通的系统更新。

第二阶段交付的是一个约8.6 MB的Apple Silicon Mach-O二进制文件。这里用到了Nuitka编译器的onefile模式——与更常见的PyInstaller不同，Nuitka将Python源码直接编译为C代码，生成的可执行文件体积更小、运行更快，更重要的是静态分析难度显著增加。

第三阶段是载荷的核心功能模块。Infiniti Stealer在这个阶段的野心暴露无遗：遍历Chromium系浏览器和Firefox的登录数据库，导出macOS Keychain中的密钥条目，扫描本地加密货币钱包文件，执行期间定时截屏，甚至从.env等开发者配置文件中提取明文密钥。

所有窃取的数据通过HTTP POST请求发往远程服务器。上传完成后，攻击者的Telegram账号会立即收到推送通知——整个流程的自动化程度，堪比正规的SaaS服务。

Mac安全的神话与现实

Infiniti Stealer的出现，戳破了一个流传多年的市场叙事：Mac不需要杀毒软件。

这个叙事的形成有其历史原因。macOS基于Unix的权限架构、Gatekeeper的代码签名验证、以及相对较小的市场份额，确实让Mac在传统病毒传播链中处于边缘位置。但"边缘"不等于"免疫"，尤其是在社会工程攻击面前。

ClickFix模式的可怕之处在于，它完全绕过了技术防护层。Gatekeeper检查的是软件来源，但用户亲手在终端输入的命令不在其监管范围内。XProtect扫描的是已知恶意签名，但Nuitka编译的二进制文件每次都是全新形态。

Malwarebytes的分析师在报告中提到了一个细节：Infiniti Stealer的后台暴露期间，他们观察到活跃的任务配置和实时受害数据。这意味着攻击并非广撒网式的批量投递，而是针对特定人群的精准运营。

update-check[.]com这个域名的选择也值得玩味。它模仿的是软件更新检查的典型命名习惯，对习惯定期维护系统的Mac用户来说，几乎不会产生警觉。

从攻击者的运营面板来看，Infiniti Stealer的开发者对macOS生态有相当深入的理解。Keychain的访问逻辑、浏览器数据库的存储路径、甚至开发者常用的.env文件习惯，都被纳入了窃取清单。这种针对性，远非跨平台通用木马所能比拟。

加密货币钱包的专项窃取功能，则揭示了目标用户的画像特征。结合Telegram即时通知的设计，攻击者显然追求快速变现——钱包凭证的时效性以小时计算，延迟发现就意味着资产转移。

截屏功能的加入更有深意。它不仅能捕获二次验证的实时界面，还能记录受害者的操作习惯，为后续钓鱼迭代提供素材。这种数据驱动的攻击优化，在传统macOS恶意软件中极为罕见。

Malwarebytes在报告结尾披露了一个未公开的数字：后台暴露期间，他们追踪到的潜在受害设备标识超过3.2万个。考虑到这只是运营周期中的一个切片，实际影响范围可能更大。

苹果在2024年加强了macOS的终端安全提示，但ClickFix攻击的本质决定了，弹窗警告的效果有限——用户已经习惯了"验证流程需要特殊权限"的叙事。当钓鱼页面完美复刻了Cloudflare的品牌视觉时，认知层面的防线比技术层面更难构筑。

Infiniti Stealer的控制面板目前已被下线，但ClickFix的投递模板和Nuitka的编译方案都是公开可复用的。下一个变种会以什么身份出现？仿造的Google登录页，还是伪装的Xcode许可协议？