伪造验证页面成新攻击入口，macOS用户面临深度渗透风险

近期，一种以伪造Cloudflare人工验证界面为诱饵的新型网络攻击在加密货币用户中迅速传播。该攻击链最终将部署名为Infiniti Stealer的信息窃取工具，专攻macOS系统，直接威胁开发者及数字资产持有者的隐私与资金安全。

利用用户主动操作实现隐蔽植入，绕过传统防护机制

安全机构Malwarebytes披露，此次攻击采用名为ClickFix的社会工程策略，其核心在于诱导用户自行运行恶意指令。攻击者精心伪造的验证页面外观与正规Cloudflare界面高度一致，一旦点击，便会引导用户打开终端并粘贴一段看似无害的命令。

实际上，该命令是隐藏的安装脚本，可立即下载并执行恶意程序，整个过程无需系统权限提示或弹窗警告，从而实现零感知部署。

原生二进制设计提升检测难度，窃取范围覆盖全面

Infiniti Stealer被编译为原生macOS二进制文件，相较于常见的脚本型恶意软件，其逆向分析难度显著提升。该程序具备多维度数据窃取能力，包括加密钱包凭证、浏览器存储信息、Keychain密钥以及开发环境中的明文密钥。

为规避静态分析，程序内置环境检测功能，若识别出处于沙箱或调试环境中则会终止运行。窃取的数据将实时上传至攻击者服务器，并通过Telegram发送通知，进入后续密码破解流程。

跨平台攻击模式扩散，苹果生态不再绝对安全

尽管此类攻击在Windows平台已有先例，但其向macOS生态迁移标志着攻击者正逐步突破平台壁垒。此前三月曝光的GhostClaw恶意软件即通过npm包管理器传播，伪装成开源工具，累计影响178名开发者。

据Chainalysis最新报告，个人钱包受攻击事件占比从2022年的7.3%跃升至2024年的44%，预计2025年若排除交易所重大事件影响，仍将维持在37%高位。这表明个体用户已成为黑客重点目标，安全意识亟待加强。