苹果用户被盯上：8.6MB小文件偷走35MB数据

macOS用户的安全幻觉正在崩塌。Malwarebytes最新报告显示，一种名为Infinity Stealer的新型信息窃取恶意软件正通过ClickFix钓鱼技术大规模收割苹果用户数据——这是首次有 documented 案例将ClickFix投递与Python编写的信息窃取器结合，且编译方式让传统杀毒软件几乎失明。

攻击者玩了一手漂亮的"借壳上市"。他们利用开源Nuitka编译器将Python脚本编译为原生C代码二进制文件，而非传统的PyInstaller打包方式。Malwarebytes研究员指出："最终载荷用Python编写、Nuitka编译，生成原生macOS二进制文件。这让分析和检测难度远超典型Python恶意软件。"

ClickFix的致命诱惑：一个假验证码如何绕过系统防线

攻击始于域名update-check[.]com。用户看到的界面高度仿冒Cloudflare人机验证，熟悉的旋转箭头、清晰的指令文案——"请完成验证以继续"。

陷阱藏在第二步。页面要求用户将一段base64编码的curl命令粘贴进macOS终端执行。这对普通用户看似荒谬，但对习惯技术教程、StackOverflow复制粘贴的目标人群，恰恰击中了行为惯性。

命令解码后释放Bash脚本，将第二阶段载荷（Nuitka加载器）写入/tmp目录，移除隔离标记，通过nohup后台执行。随后传递命令控制服务器（C2）地址和令牌，自毁并关闭终端窗口——整个过程不超过10秒，用户甚至来不及反应。

Nuitka编译：让逆向工程师头疼的"翻译腔"

第二阶段载荷是一个8.6 MB的Mach-O二进制文件，内部却压缩着一个35MB的zstd归档。解压后露出真面目：Infinity Stealer本体（UpdateHelper.bin）。

体积膨胀背后是精密的反检测设计。PyInstaller打包的Python恶意软件会暴露字节码层，安全工具可以像翻书一样逐行审查；Nuitka则把Python"翻译"成C语言再编译为机器码，生成的原生二进制没有明显字节码痕迹。静态分析工具面对它，如同面对一本被碎纸机处理过的手稿。

Malwarebytes对比指出：PyInstaller是"带着Python解释器一起打包"，Nuitka是"彻底改写成另一种语言"。后者在逃避检测上的优势，让Infinity Stealer成为macOS信息窃取器的新基准。

Infinity Stealer的收割清单：从浏览器到加密钱包

执行前，恶意软件先进行反分析检查，确认未在虚拟化或沙箱环境中运行。一旦通过检测，便开始系统性地搜刮：

浏览器数据是首要目标——Chrome、Firefox、Brave、Edge的Cookie、自动填充信息、保存的密码全部打包。系统层面的钥匙串（Keychain）、用户文档、桌面文件、下载记录被递归遍历。屏幕截图实时捕获用户操作画面。加密钱包扩展和桌面应用（具体名单未完全披露）成为高价值猎物。

所有数据通过HTTP POST请求外泄至C2服务器。操作完成后，Telegram通知自动推送给攻击者——这套"完工确认"机制让运营者能实时追踪感染成果。

macOS威胁的进化速度超出预期

ClickFix技术并非新鲜事物。它最早在Windows平台泛滥，利用用户对"人机验证"的本能信任诱导执行恶意命令。向macOS的迁移标志着攻击者的平台覆盖策略正在收紧——苹果用户长期以来的"相对安全"认知，正在被针对性利用。

Malwarebytes在报告中强调："Infinity Stealer这类恶意软件的出现证明，针对macOS用户的威胁正变得越发高级和精准。"

防御建议看似简单却最难执行：永远不要将网上找到的、不完全理解的命令粘贴进终端。但对习惯Homebrew安装、开发环境配置、各类CLI工具的技术用户群体，这条红线与日常 workflow 的边界早已模糊。

攻击者赌的就是这种模糊。当"复制-粘贴-回车"成为肌肉记忆，安全意识便让位于效率本能。Infinity Stealer的感染链设计，本质上是一场针对用户行为模式的社会工程精准打击。

你的终端历史记录里，有多少条命令是真正理解后才执行的？