GoPlus：一恶意程序利用 ClickFix 攻击 Mac 用户以窃取加密钱包

Foresight News 消息，GoPlus 发布安全警告，恶意程序 Infiniti Stealer 正在针对 Mac 用户的加密钱包进行攻击。该程序利用「ClickFix」社会工程学手段，通过伪造 Cloudflare CAPTCHA 页面，诱导用户在终端执行恶意命令。

该攻击链在执行命令后会移除 macOS 的隔离属性并在后台运行负载。其最终负载是经由 Nuitka 编译为原生二进制文件的 Python 盗取程序，具备较强的规避检测能力。Infiniti Stealer 会获取浏览器凭证、macOS Keychain、加密钱包及开发者密钥（如 .env 文件），并具备沙盒检测和延迟执行功能。

GoPlus 建议用户遵循「不点击、不安装、不签名、不转账」原则，检查 /tmp 和 ~/Library/LaunchAgents/ 路径下的持久化文件，并及时重置凭证。