ClickFix 攻击升级：绕过苹果 macOS 26.4 防护，用脚本编辑器新路径投毒

ClickFix攻击手法升级：利用脚本编辑器绕过macOS 26.4安全防护

4月8日，苹果设备安全公司Jamf发布最新威胁报告，揭示了ClickFix攻击策略的重大转变。攻击者已放弃依赖终端命令的传统社工模式，转而利用macOS内置的“脚本编辑器”作为新的恶意代码投递路径。

安全研究人员追踪发现，自2024年初首次曝光以来，ClickFix攻击的全球检测量在一年内激增超过500%，现已成为针对Mac用户增长最快的社会工程学威胁。这种攻击通过伪造的人机验证页面，诱骗用户执行恶意操作。

攻击流程始于用户访问被劫持的网站或恶意广告。与传统验证码不同，受害者会看到一个要求启用系统功能的欺骗性界面。此前，攻击链依赖用户在终端中粘贴恶意命令，为此苹果在macOS 26.4中引入了终端命令扫描机制以阻断此路径。

新版攻击则构建了模仿苹果官方界面的欺诈网页，谎称系统存储空间不足。页面中的“执行”按钮会触发“applescript://”URL协议，直接调用脚本编辑器应用。

随后，浏览器会弹出系统权限请求对话框。一旦用户点击“允许”，脚本编辑器将自动加载并执行经过混淆的恶意AppleScript。这种手法利用了用户对系统原生应用的信赖，显著提高了攻击成功率。

恶意脚本的核心是执行经过编码的Shell命令。它使用“tr”工具解码隐藏的URL，通过“curl”下载远程载荷，并利用管道直接在内存中通过“zsh”解释器执行，有效规避了基于文件的检测。

攻击的第二阶段会下载Mach-O格式的二进制文件至“/tmp”目录，清除其扩展属性并赋予可执行权限后立即运行。Jamf分析确认，该最终载荷是Atomic Stealer窃密木马的变种，专门用于盗取浏览器凭证、加密货币钱包及敏感文档。

此次攻击演变暴露了macOS防护逻辑的局限性。虽然苹果加固了终端命令的扫描机制，但脚本编辑器作为同样具备系统级访问权限的自动化工具，尚未被纳入同等强度的监控范围。攻击者通过将复杂命令封装为“一键执行”的流畅体验，大幅降低了用户的安全警觉性，凸显了持续演变的攻防对抗现实。