文章总结： Malwarebytes研究人员发现名为InfinityStealer的新型macOS信息窃取恶意软件，该软件利用Nuitka编译的Python负载，并通过ClickFix技术传播，诱骗用户访问伪造的Cloudflare验证码页面并执行终端命令。感染过程包含多阶段：初始bash释放器解码负载并移除系统保护；第二阶段为Nuitka编译的加载器，负责解包并运行最终基于Python3.11的窃取软件，该软件可收集浏览器凭据、钥匙串、加密货币钱包等数据，并通过HTTP外传。报告建议用户切勿粘贴来源不明的命令，若已执行可疑命令应立即更改密码、撤销密钥并进行全盘扫描。 综合评分： 72 文章分类： 恶意软件,威胁情报,终端安全,应用安全

新型 macOS 恶意软件 Infinity Stealer 利用 Nuitka Python 负载及 ClickFix 技术

鹏鹏同学 鹏鹏同学

黑猫安全

2026年4月1日 09:20 湖北

在小说阅读器读本章

去阅读

Malwarebytes 的研究人员发现了一种名为 Infinity Stealer 的新型 macOS 信息窃取恶意软件，它利用 Nuitka 编译的 Python 负载，并通过 ClickFix 技术传播，诱骗用户访问伪造的 Cloudflare CAPTCHA 页面。

Malwarebytes 发布的报告写道：“一个虚假的验证页面会指示访问者打开终端，粘贴一条命令，然后按回车键。一旦执行，感染过程便会立即开始。这种技术此前在 Windows 系统上流行，但现在已被改造用于 macOS，其操作说明也针对该平台进行了定制：Command + Space > 打开终端 > 粘贴命令。”

该虚假的 Cloudflare CAPTCHA 页面会诱骗用户粘贴一条终端命令，从而获取一个 Stage-1 Bash 释放器（dropper）。

报告继续指出：“第一个有效负载是一个 Bash 脚本，使用了之前在 MacSync（在早期研究中也被称为 SHub）等 macOS 窃取软件中出现过的模板。这表明攻击者可能使用了共享的生成器。”

该释放器会解码有效负载，写入 Stage-2 二进制文件，移除 macOS 的保护机制，执行该文件，传递命令与控制（C2）服务器数据，最后自我删除。Stage-2 是一个原生 macOS 加载器，使用 Nuitka 编译，负责解包并运行最终的 Python 窃取软件。

最终有效负载 UpdateHelper[.]bin 是一个基于 Python 3.11 的窃取软件，能够收集浏览器凭据、钥匙串条目、加密货币钱包、.env 文件以及屏幕截图，并通过 HTTP 将数据外传。它还能检测分析环境，并添加随机延迟以规避检测。一旦数据外传完成，它会通过 Telegram 通知操作者，并将凭据加入队列以供服务端破解。

Infinity Stealer 的出现表明 macOS 已不再属于低风险平台，它借鉴了 Windows 风格的 ClickFix 攻击手法，并利用 Nuitka 来规避检测。如果你曾运行过可疑的终端命令，应立即停止敏感操作，使用一台未受感染的设备更改密码，撤销会话和密钥，并检查 /tmp 目录和 LaunchAgents 文件夹。专家建议使用反恶意软件进行全盘扫描。请记住，切勿粘贴来自网站的命令，因为任何真正的 CAPTCHA 验证都不会要求用户这样做。

该报告包含了此次攻击活动的入侵威胁指标（IOC）。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《新型 macOS 恶意软件 Infinity Stealer 利用 Nuitka Python 负载及 ClickFix 技术》