苹果刚封了终端漏洞，黑客用1个内置工具绕过了它

苹果在macOS 26.4里给Terminal加了道安检门，结果攻击者连门都不走了——他们翻窗进了隔壁的Script Editor。

Jamf Threat Labs最近抓到一个ClickFix新变种，完全不用Terminal，靠系统自带的脚本编辑器就能往Mac里塞Atomic Stealer窃密木马。从发现到公开，这套打法已经悄悄跑了一段时间。

Terminal被封，攻击者换了个"合法身份"

ClickFix的老套路是骗用户把恶意命令复制进Terminal，伪装成清理缓存或修复系统的常规操作。苹果今年4月的更新给Terminal加了命令预扫描，粘贴进去的东西会先过一遍安检，确实拦住了不少同类攻击。

但攻击者的反应速度比预期快得多。他们没有放弃社会工程这套核心打法，只是把执行场地从Terminal搬到了Script Editor——一个每台Mac都预装的自动化工具，支持AppleScript，而且早就有被恶意利用的记录。

Jamf的研究人员是通过行为检测机制发现异常的。Script Editor被浏览器直接唤起、随后出现可疑网络活动，这套组合触发了他们的检测规则。进一步分析后，完整的攻击链才浮出水面。

具体来说，攻击者利用了applescript这个URL scheme。用户在恶意网页上点击按钮后，浏览器会弹出"是否打开Script Editor"的权限请求——这个对话框看起来和日常打开邮件附件、启动其他应用没什么区别，大多数人会习惯性点"允许"。

假页面、真脚本，每一步都在模仿苹果

攻击的起点是一个精心仿制的苹果风格网页，主题是"磁盘空间清理工具"。页面设计、字体、配色都贴着官方维护指南的感觉，步骤说明也写得像是从Support文档里抄出来的。

用户点击"执行"按钮后，applescript URL scheme被静默触发。浏览器弹出权限对话框，请求打开Script Editor。这个环节的设计很讲究：它把攻击包装成了系统级的常规任务，而不是外来威胁。

Script Editor启动后，窗口里已经填好了一段完整的脚本。脚本头部有伪造的苹果版权声明，声称这是"Apple存储优化工具"，视觉可信度拉满。根据Jamf的分析，不同macOS版本的体验略有差异——26.4版本会要求用户先批准将脚本保存到磁盘，才能继续执行。

一旦用户运行脚本，真正的攻击才开始。脚本里的核心命令经过了一层字符转换混淆：用tr工具把乱码字符串实时翻译成可执行的URL。这种手法不新，但对付普通用户足够有效。

翻译后的命令调用curl，带上-k参数强制跳过TLS证书验证，直连攻击者的服务器下载载荷。下载内容通过管道直接送进zsh执行，全程在内存里运行，不落盘。

第一阶段的载荷用了base64编码，外加另一层字符混淆。解码后释放的是一个经过修改的Python环境，专门用来在内存里加载下一阶段的恶意代码。Atomic Stealer最终通过这个通道完成部署，开始窃取浏览器凭证、加密货币钱包和其他敏感数据。

Atomic Stealer的"业务"有多广

Atomic Stealer在Mac恶意软件里算是老面孔了，但活跃度和更新频率一直没降下来。它主要盯几类数据：浏览器里保存的密码和Cookie、加密货币钱包的密钥文件、系统信息和屏幕截图。

Jamf的监测数据显示，这类窃密工具的"客户"——也就是购买或订阅Atomic Stealer服务的攻击者——分布很广。从针对普通用户的广撒网，到精准打击加密货币持有者，不同团伙的玩法差异很大。但底层工具 increasingly 共享，Atomic Stealer就是流通量最大的几款之一。

这次ClickFix变种的出现，说明攻击者对苹果的安全更新有实时跟踪能力。Terminal的新防护上线没多久，替代方案就已经在野运行。这种响应速度不是偶然，而是黑色产业链成熟的标志：工具开发者、流量贩子、社会工程专家分工明确，一个环节被堵，其他环节快速补位。

对普通用户来说，Script Editor的权限请求和Terminal的看起来风险等级完全不同。前者是"系统工具"，后者是"命令行"——很多人根本不知道Script Editor能执行什么，自然也不会警觉。

苹果的防护逻辑，正在被"合法应用"消解

苹果的安全策略这几年越来越倾向于"减少用户做危险决定的机会"。Gatekeeper、公证（Notarization）、Terminal命令扫描，都是这个思路的延伸：把风险拦截在用户接触之前，或者用明显的提示增加攻击者的社会工程成本。

但Script Editor这个案例暴露了一个结构性难题。它是系统内置的合法应用，有正常的使用场景，不可能一刀切封锁。攻击者利用的是"合法工具被滥用"的灰色地带，而苹果很难在不误杀正常用户的前提下，给这类应用加上更重的权限枷锁。

Jamf的研究人员提到，他们在分析过程中注意到一个细节：攻击脚本里的版权头部伪造得非常用心，连苹果官方文档里的措辞习惯都模仿了七八成。这种投入说明攻击者对目标用户的心理有研究——Mac用户长期被教育"苹果生态更安全"，对"苹果官方工具"的信任阈值天然更低。

换句话说，攻击者在利用的不仅是技术漏洞，还有品牌信任本身。

从更长的周期来看，ClickFix的演变轨迹很清晰。早期的版本直接要用户复制粘贴终端命令，后来加入了伪造的错误提示页面增加紧迫感，现在又进化到完全绕过Terminal、利用内置自动化工具。每一步都在降低用户的认知负担：不需要懂命令行，不需要理解权限请求的含义，只需要按页面提示点几下。

这种"傻瓜化"趋势让社会工程攻击的门槛持续下降。技术防护再严密，最终还是要过用户这一关。而用户这一关，恰恰是设计得越来越"无感"的。

苹果在macOS 26.4之后的更新里会不会针对Script Editor这类工具加强管控？Jamf的报告没有预测，但提到了一个观察：攻击者已经在测试其他内置应用的类似利用方式，包括Automator和Shortcuts。Terminal只是第一个被盯上的，不会是最后一个。

对于企业环境，Jamf建议的缓解措施包括限制applescript URL scheme的浏览器调用、监控Script Editor的异常网络活动，以及对用户进行针对性的钓鱼模拟训练。但这些措施在消费级市场很难铺开——普通用户不会为了安全去改系统配置，也不会定期参加安全培训。

这就形成了一个不对称的局面：攻击者只需要找到一个利用链，防御方却要覆盖所有可能的入口。Script Editor这次被选中，可能只是因为它恰好平衡了"功能足够强大"和"用户足够陌生"这两个条件。

Atomic Stealer的开发者会不会把这套ClickFix变种整合进标准工具包？从以往的更新节奏来看，概率不低。窃密软件的市场竞争也很激烈，谁的传播链更顺滑、谁的社会工程素材更逼真，谁就能吸引更多"客户"。

Jamf在报告结尾放了一个细节：他们在分析样本时，发现攻击者留下的一个调试字符串里拼错了"optimization"——少了一个i。这个低级错误和前面精心伪造的版权头部形成奇怪的对照。是故意留下的指纹，还是匆忙上线的疏漏？

下一个被翻窗而入的，会是Automator，还是某个你每天都在用却从未注意过的系统工具？