Mac恶意攻击升级：脚本编辑器成新突破口

你正在浏览网页，突然弹出一个苹果风格的提示——"存储空间不足"。熟悉的界面、官方的措辞，你下意识点了"执行"。三秒后，浏览器请求调用系统工具，你想都没想就点了允许。这套流畅到近乎自然的交互，正是攻击者精心设计的陷阱。

从终端到脚本编辑器：攻击路径的迭代

今年3月，ClickFix攻击首次进入公众视野。黑客伪造人机验证页面，诱骗Mac用户打开终端、粘贴恶意命令。这种"复制-粘贴"模式依赖用户主动操作，门槛不低。

苹果反应迅速。macOS 26.4更新中，系统开始扫描终端粘贴的命令内容，试图阻断这一链条。据Jamf报告，这一补丁确实让传统路径失效。

但攻击者没有退场，只是换了扇门。4月8日，Jamf披露最新变种：攻击者放弃终端，转而利用macOS自带的脚本编辑器作为突破口。

一键触发的流畅陷阱

新攻击的核心设计极具迷惑性。恶意网页伪装成苹果官方风格，谎称存储空间不足。页面中央放置一个醒目的"执行"按钮——点击后触发applescript://协议，直接调起脚本编辑器。

浏览器随即弹出权限请求。这个弹窗看起来与日常软件授权无异，用户极易习惯性点击"允许"。一旦放行，脚本编辑器加载预置代码，整个流程无需用户再输入任何内容。

Jamf安全团队分析，这种"浏览器→系统应用"的跳转模式，利用了用户对原生工具的信任惯性。相比终端里密密麻麻的命令行，图形化的脚本编辑器显得更"安全"、更"官方"。

内存执行与数据窃取的技术链条

恶意脚本的后台动作经过精心设计。它运行经过混淆处理的Shell命令，用tr工具解码隐藏URL，通过curl下载远程载荷，再直接管道传递给zsh在内存中执行——全程不落硬盘，规避传统文件扫描。

第二阶段，攻击将Mach-O二进制文件下载至/tmp目录，移除扩展属性、标记可执行后启动。Jamf确认该载荷为Atomic Stealer变种，专门窃取系统敏感数据。

这套技术架构的阴险之处在于：它把原本需要用户手动输入的多步操作，压缩成浏览器内的一键触发。流畅度本身就是武器。

防护盲区的结构性暴露

此次升级揭示了macOS安全架构的深层张力。苹果加固了终端的粘贴执行流程，却未同步覆盖脚本编辑器的调用路径。攻击者敏锐捕捉到这一逻辑缝隙——当一条通道被封锁，相邻的替代路径立刻成为薄弱环节。

更值得玩味的是用户心理层面。终端自带"技术门槛"的威慑感，而脚本编辑器作为图形化工具，反而消解了这种警觉。攻击者不是在破解系统，是在破解人对系统的认知惯性。

数据显示，ClickFix攻击的检测量在2024年至2025年间激增超过500%，已成为互联网增长最快的社会工程学威胁之一。这个数字背后，是攻击者持续迭代的产品思维：每一次系统补丁，都是下一轮攻防的迭代起点。