文章总结： 新型InfinityStealer恶意软件通过伪造Cloudflare验证页面的ClickFix手法攻击Mac用户，诱导其在终端执行命令，进而窃取密码、钥匙串、加密钱包等数据并截屏。该软件经Nuitka打包以绕过检测。建议拒绝任何要求开终端验证的页面，若已中招应立即断网关机、换设备改密码并全盘杀毒。 综合评分： 82 文章分类： 恶意软件,安全意识,数据泄露,终端安全

新型“Infinity”恶意软件正在通过假验证页面疯狂传播

看雪学苑 看雪学苑

看雪学苑

2026年3月30日 18:09 上海

最近，一种名为“Infinity Stealer”的新型恶意软件正在专门针对Mac用户发起攻击，而且它的传播方式非常狡猾，让人防不胜防。

如果你在浏览网页时，突然遇到一个看起来很像“Cloudflare”安全验证的页面，上面写着“请证明你不是机器人”，并让你打开电脑的“终端”（Terminal）程序，复制粘贴一段命令来“完成验证”。

真正的网站验证，从来不会要求用户打开“终端”并输入命令。这其实是黑客们精心设计的陷阱，他们把这个手法称为“ClickFix”。

这个假页面的“指导”写得有模有样：按下Command+空格键，搜索“终端”，然后把那段复杂的代码粘贴进去并回车。在你按下回车的那一刻，恶意软件就已经悄悄植入了你的电脑。

一旦中招，这款名为“Infinity Stealer”的恶意软件就像一个隐形的“信息扒手”，它会在你不知情的情况下，把以下信息打包发送给黑客：

1. 浏览器里保存的密码：你所有网站的登录账号和密码。

2. 钥匙串里的信息：包括你电脑里保存的各种密码、信用卡信息。

3. 加密货币钱包：如果你有数字资产，可能会被直接盗取。

4. 重要的配置文件：比如程序员常用的环境变量文件（.env），里面常常包含着各种服务的密钥。

更可怕的是，它还会偷偷截取你的屏幕，并把所有偷来的信息通过后台发送出去。黑客们甚至会用这些信息去尝试破解更多账号。

以前，这类骗局主要针对Windows电脑。但现在，黑客们已经开始“升级”他们的手法，专门为Mac用户定制了操作步骤。而且，这个恶意软件用了一种特殊的方式打包，能更容易地躲过一些安全软件的检测。

如果你从未在网上的指示下，在“终端”里粘贴并运行过任何命令，那么风险相对较低，但也要时刻保持警惕。

如果你曾经这样做过，那么请立即采取行动：

1. 断网并关机：立刻断开网络连接，并关闭电脑。

2. 换一台干净的设备：使用另一台安全的电脑或手机，立即修改所有重要账户的密码，特别是邮箱、社交媒体、网银和加密货币相关的账户。

3. 检查并清理：如果你有技术基础，可以检查电脑的“/tmp”临时文件夹和“启动代理”中是否有可疑的文件。最稳妥的方法是使用专业的杀毒软件进行一次全盘扫描。

任何要求你打开“终端”或“命令提示符”来“证明是人类”的页面，100%是恶意软件。请直接关闭页面，不要犹豫。

资讯来源：本文内容根据网络安全公司 Malwarebytes 发布的研究报告《New macOS Infinity Stealer uses Nuitka Python payload and ClickFix》及相关公开资讯整理编译。

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《新型“Infinity”恶意软件正在通过假验证页面疯狂传播》