最近，一种名为“Infinity Stealer”的新型恶意软件正在专门针对Mac用户发起攻击，而且它的传播方式非常狡猾，让人防不胜防。

如果你在浏览网页时，突然遇到一个看起来很像“Cloudflare”安全验证的页面，上面写着“请证明你不是机器人”，并让你打开电脑的“终端”（Terminal）程序，复制粘贴一段命令来“完成验证”。

真正的网站验证，从来不会要求用户打开“终端”并输入命令。这其实是黑客们精心设计的陷阱，他们把这个手法称为“ClickFix”。

这个假页面的“指导”写得有模有样：按下Command+空格键，搜索“终端”，然后把那段复杂的代码粘贴进去并回车。在你按下回车的那一刻，恶意软件就已经悄悄植入了你的电脑。

一旦中招，这款名为“Infinity Stealer”的恶意软件就像一个隐形的“信息扒手”，它会在你不知情的情况下，把以下信息打包发送给黑客：

1. 浏览器里保存的密码：你所有网站的登录账号和密码。

2. 钥匙串里的信息：包括你电脑里保存的各种密码、信用卡信息。

3. 加密货币钱包：如果你有数字资产，可能会被直接盗取。

4. 重要的配置文件：比如程序员常用的环境变量文件（.env），里面常常包含着各种服务的密钥。

更可怕的是，它还会偷偷截取你的屏幕，并把所有偷来的信息通过后台发送出去。黑客们甚至会用这些信息去尝试破解更多账号。

以前，这类骗局主要针对Windows电脑。但现在，黑客们已经开始“升级”他们的手法，专门为Mac用户定制了操作步骤。而且，这个恶意软件用了一种特殊的方式打包，能更容易地躲过一些安全软件的检测。

如果你从未在网上的指示下，在“终端”里粘贴并运行过任何命令，那么风险相对较低，但也要时刻保持警惕。

如果你曾经这样做过，那么请立即采取行动：

1. 断网并关机：立刻断开网络连接，并关闭电脑。

2. 换一台干净的设备：使用另一台安全的电脑或手机，立即修改所有重要账户的密码，特别是邮箱、社交媒体、网银和加密货币相关的账户。

3. 检查并清理：如果你有技术基础，可以检查电脑的“/tmp”临时文件夹和“启动代理”中是否有可疑的文件。最稳妥的方法是使用专业的杀毒软件进行一次全盘扫描。

任何要求你打开“终端”或“命令提示符”来“证明是人类”的页面，100%是恶意软件。请直接关闭页面，不要犹豫。

资讯来源：本文内容根据网络安全公司 Malwarebytes 发布的研究报告《New macOS Infinity Stealer uses Nuitka Python payload and ClickFix》及相关公开资讯整理编译。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！