macOS用户正被"磁盘清理"陷阱盯上：一条命令就能偷光你的密码和加密钱包

你以为只有Windows用户才会被流氓软件骚扰？微软的安全团队最近盯上了一波专门针对macOS的攻击，手法简单到令人警惕——骗子们把恶意代码包装成"磁盘清理工具"和"系统修复指南"，诱导用户亲手把贼放进门。

这波攻击有个代号叫ClickFix。攻击者会在Medium、Craft这些看起来人畜无害的内容平台上发布假的故障排查帖，标题和正文都模仿苹果官方支持文档的风格。帖子通常瞄准macOS用户的常见焦虑：磁盘空间不足。解决方案？打开终端，粘贴一条命令。

命令执行后，后台会静默下载并运行信息窃取程序。用户全程看不到任何弹窗或警告，直到发现自己的iCloud数据、浏览器保存的密码、钥匙串记录、甚至加密货币钱包密钥已经不翼而飞。

微软从2026年1月就开始追踪ClickFix的演变，目前已经识别出三种不同的攻击变体，核心目标完全一致：窃取敏感数据、在受感染设备上维持持久访问权限。被盗数据清单长得惊人——除了密码和钱包密钥，还包括Telegram聊天记录、媒体文件，某些版本甚至会直接把合法的Trezor Suite、Ledger Live、Exodus等钱包应用替换成攻击者控制的假版本，从此每一笔交易都在对方眼皮底下进行。

最棘手的是这套攻击绕过了macOS的Gatekeeper机制。正常情况下，macOS会对准备运行的应用做安全验证，但终端里直接粘贴执行的命令根本不走这道流程，攻击者几乎零阻力就能在设备上扎根。

三种攻击变体的技术路径各有侧重。"加载器"变体会用shell脚本收集系统信息，比如键盘区域设置和操作系统版本，然后联系攻击者控制的服务器；"脚本"变体更狡猾，它会先搜索可用的命令控制服务器，如果找不到就自动 fallback 到Telegram机器人来动态定位；第三种"辅助程序"变体则会部署一个名为helper或update的隐藏可执行文件，每次设备重启都会自动运行，建立持久后门。

诱饵内容的制作相当精细。假Medium博客的域名比如macos-disk-space[.]medium[.]com，页面排版和措辞都在模仿真正的macOS支持指南。Craft笔记平台和一批独立网站也被利用，域名听起来官方且可信，降低用户的戒备心。

整个攻击链条的起点就是那条被粘贴进终端的命令。它会解码一段隐藏脚本，触发后续的多阶段加载。由于macOS用户长期以来相对"安全"的认知惯性，这类社会工程学攻击的成功率可能远高于针对Windows用户的传统手段——毕竟，谁会想到一篇看起来专业的Medium技术文章，竟然是精心设计的钓鱼陷阱？

目前微软的持续追踪仍在进行。对于普通用户而言，最基础的防御原则依然有效：无论教程看起来多权威，永远不要随意把不明来源的命令粘贴进终端。