文章总结： 近日披露针对macOS的定向钓鱼攻击，攻击者伪装审计人员投递双重扩展名恶意脚本，诱导运行后下载Payload。攻击通过伪造系统弹窗窃取密码，尝试绕过TCC隐私保护机制，并植入Node.js远控后门实现持久控制。建议立即断网并重置TCC权限，警惕索要密码的不明邮件。 综合评分： 90 文章分类： 威胁情报,恶意软件,应急响应,安全意识

警惕！macOS平台Token Vesting钓鱼攻击来袭

走狗是狗哥 走狗是狗哥

安在

2026年2月5日 20:36 上海

近日，慢雾科技（SlowMist）与Chainbase实验室联合披露了一起极具针对性和技术复杂性的网络安全事件。

这并非一次普通的网络钓鱼，而是一场针对macOS用户，融合了高级社会工程学、系统权限滥用与持久化后门技术的定向攻击。攻击者伪装成专业的审计或合规人员，将毒饵精准投送至目标邮箱，上演了一出现实版的“羊皮下的狼”。

一、序幕：来自“审计部门”的合规邮件

攻击的起点，是一封看似寻常却暗藏杀机的商务邮件。根据披露的细节，攻击活动始于2026年1月下旬。

攻击者首先以“确认公司英文法定名称”为由，诱导收件人进行邮件回复，建立起初步的“业务联系”。这种开场白看似琐碎，却极具迷惑性，因为它符合投资机构、审计方与项目方之间常见的合规核对流程。

在获得回复、确认目标活跃后，攻击者便抛出更具紧迫性的诱饵。他们以“FY2025外部审计”和“Token Vesting Confirmation（代币解锁确认）截止回传”等专业话术持续跟进。

邮件内容措辞严谨，提及内部管理、审计流程等细节，并附上所谓的确认文件，要求收件人在截止日期前审阅并签署回传。这一切都完美地模仿了真实的投后管理或财务审计场景，极大地降低了受害者的戒心。

二、陷阱：双重扩展名下的恶意脚本

邮件中最致命的武器，是其携带的附件。攻击者投递了名为Confirmation_Token_Vesting.docx.scpt 的文件。

乍一看，这是一个Word文档（.docx），但在macOS系统中，实际生效的扩展名是最后的 .scpt，即AppleScript脚本文件。这种“双重扩展名”是常见的伪装手法，利用用户习惯于查看文件名前半部分的心理，诱使其点击执行。

一旦用户打开这个附件，恶意剧本便正式开演。脚本并非直接作恶，而是作为一个“下载器”运行。它首先会执行一系列迷惑性操作，例如打开macOS的系统设置并切换到“软件更新”页面，让用户误以为只是系统在自动修复或更新组件。

与此同时，它在后台悄无声息地收集关键系统信息，包括CPU架构（Intel或Apple Silicon）、macOS版本号和系统语言，并将这些数据发送到攻击者控制的服务器（C2）。服务器根据这些信息，决定下发何种最适合受害者系统环境的下一阶段恶意载荷（Payload）。

三、升级：窃取凭证与突破隐私防线

从服务器下载的第二阶段脚本，才是攻击的核心。它展现出更复杂的恶意行为：

1.钓鱼窃密：脚本会弹出一个高度仿真的系统密码输入对话框，界面甚至可能包含Google头像等元素，伪装成系统或谷歌服务的验证提示。当用户输入密码并点击“确定”后，脚本会立即调用系统命令验证密码的正确性。一旦验证通过，用户名和密码会经过Base64编码，通过curl命令迅速回传至攻击者服务器。至此，攻击者已获得了进入受害者系统的第一把“钥匙”。

2.绕过TCC隐私保护：获取密码后，攻击者的目标是获得更高的系统权限。macOS的TCC（透明、同意与控制） 框架是保护用户隐私的核心机制，它控制着应用程序对摄像头、麦克风、屏幕录制、文件访问（如桌面、下载文件夹）等敏感资源的访问权限。

然而，该恶意脚本试图通过技术手段强行绕过这一保护。它尝试重命名TCC数据库相关目录，并直接向数据库注入SQL语句，旨在为自身及相关进程（如Bash、终端）静默添加全套隐私权限。历史上，macOS的TCC机制曾多次被发现存在可被利用的漏洞，攻击者可能借鉴或利用了相关技术思想。一旦绕过成功，恶意软件将能无感地访问用户的一切敏感数据和设备。

四、扎根：部署动态的Node.js远控后门

在突破权限防线后，攻击进入最终阶段——建立持久、隐蔽的远程控制通道。脚本会从服务器下载名为origin的加密数据，解码执行后，会进一步准备Node.js环境，并拉取核心恶意脚本 index.js。

这个基于Node.js的后门功能强大且危险。它会上报详细的系统信息（版本、CPU、磁盘、网络、进程列表），并等待服务端下发的指令。

攻击者可以通过服务器动态下发新的JavaScript代码，由后门通过eval()函数直接执行，从而实现任意命令执行、文件窃取、横向移动等攻击目的。Node.js因其跨平台特性和强大的网络能力，正日益受到攻击者青睐，被用于构建模块化、隐蔽性强的远程访问木马（RAT）。

在此次事件中，它赋予了攻击者持续控制受害主机并随时扩展攻击能力的手段。

五、解析与反思：一次教科书级的定向渗透链

纵观全局，此次攻击绝非简单的“钓鱼”。慢雾团队将其定性为“一条分阶段的渗透链路”。它呈现出几个显著特点：

1.高度定制化的社会工程学：攻击话术紧扣Web3和投资领域的合规审计场景，针对性强，迷惑性极高。

2.滥用合法工具与无文件技术：全程利用macOS原生支持的AppleScript和合法的Node.js环境，部分载荷仅在内存或临时文件中存在，对依赖静态文件特征检测的安全软件构成挑战。

3.目标明确的权限提升：攻击链清晰指向获取系统密码和绕过TCC，旨在获得对设备的完全控制权，而非浅层的信息窃取。

4.基础设施的“快速抛弃”特性：攻击中使用的C2域名sevrrhst[.]com注册于2026年1月23日，使用免费证书，关联大量相似恶意域名，显示出攻击者随时准备弃用当前基础设施以逃避追踪的策略。

六、应对之道：立即行动与长期警惕

针对已中招或怀疑中招的用户，慢雾安全团队给出了明确的应急建议：

·立即断网：若已执行附件或输入了系统密码，首先应物理断开网络连接，阻断后门通信。

·清除非法授权：在终端执行tccutil reset All 命令，重置系统TCC隐私数据库，移除恶意脚本非法获取的所有权限。

·清理恶意进程：检查并结束隐藏在后台的恶意Node.js进程。

对于所有用户，此事件是一次深刻的警示。在数字世界，即便来自“审计方”、“合作伙伴”的邮件也需保持警惕。务必养成检查文件完整扩展名的习惯，对任何索要系统密码或要求运行不明脚本的行为保持最高级别的怀疑。

在Web3领域，资产安全始于设备安全，而设备安全的第一道防线，正是使用者时刻在线的安全意识。

加入诸子云知识星球

获取更多“安全意识资料”和“网络安全报告”

<

左滑了解更多详情

>

安在安全意识团购服务

安在新媒体面向企业用户，推出“网络安全意识团购服务”，涵盖宣传素材、培训课程、威胁体验、游戏互动等，采用线上线下融合的方式，帮助员工掌握安全要点，并提供定制化安全策略咨询。

<

左滑了解更多详情

>

**部分展示，以作参考

更多服务，详情洽谈**

Tina 诸子云群秘

END

点击这里阅读原文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在 走狗是狗哥 走狗是狗哥《警惕！macOS平台Token Vesting钓鱼攻击来袭》