文章总结： 2026年5月FBI局长卡什·帕特尔曾创立的服装品牌网站遭ClickFix恶意软件攻击，攻击者伪造Cloudflare验证页面诱骗Mac用户执行终端命令以窃取浏览器凭证、加密货币钱包等敏感数据。事件由葡萄牙用户发现并曝光，凸显社会工程学攻击风险及个人品牌与网络安全管理的脆弱关联。建议用户警惕非常规终端操作并及时更新系统防护。 综合评分： 85 文章分类： 恶意软件,社会工程学,安全意识,漏洞分析,安全大事件

FBI局长卡什·帕特尔再上网安热榜：前服装品牌网站遭ClickFix攻击，macOS用户成猎物

原创

网空闲话 网空闲话

网空闲话plus

2026年5月23日 08:43 北京

在小说阅读器读本章

去阅读

2026年3月，联邦调查局局长卡什·帕特尔曾经使用的Gmail个人邮箱遭伊朗关联黑客组织Handala入侵；仅两个月后，他的名字再度登上网络安全新闻热榜——这一次，攻击目标不是他本人，而是他创办后虽已出售、却仍印有其姓名与基金会标识的服装品牌Based Apparel。5月21日，一位葡萄牙用户发现该网站被植入了“ClickFix”恶意软件攻击，通过伪造Cloudflare验证页面诱骗访客在Mac终端中运行恶意命令。事件曝光后，FBI声明帕特尔在就任局长前已出售全部权益，Based Apparel网站随之下线，但截至发稿时该公司自身未作任何回应。

一、事件曝光：一位葡萄牙用户如何揭开攻击面纱

2026年5月21日（周四），一名葡萄牙用户成为此次攻击的首位公开发现者。这位在推特上以用户名“@dm4uz3”、自称名为“debbie”的用户，在阅读《大西洋月刊》一篇关于帕特尔的文章后，点击文中链接访问了Based Apparel网站，随即遭遇异常。

“我浏览网站时，ClickFix攻击就突然出现了，”debbie在给科技媒体PCMag的电子邮件中回忆道。她自称“超级书呆子”，并未像普通受害者那样被迷惑，而是迅速识别出攻击并成功获取了恶意shell脚本的有效载荷。她将该有效载荷提交至VirusTotal进行检测，结果被27款安全厂商标记为恶意程序，归类为木马和信息窃取程序。

debbie随后在推特上连续发布了多条推文记录这一发现。5月22日，她在推文中附上屏幕录像，对质疑者简洁有力地回应：“对于不信者而言”——配以一段完整记录攻击过程的视频。当有人提问“我不太清楚这一切是怎么回事，我应该注意什么？因为它看起来就像一个普通的DDoS或垃圾验证码屏幕，但我猜这是模仿那个但实际上是有害的东西？”时，debbie给出了直击要害的解释：“简单来说，他们让你粘贴到终端里的东西就是恶意软件。”她还调侃攻击者“太贪婪了”，讽刺“它们也落后于普通的Cloudflare”，更直接艾特帕特尔的官方账号写道：“@FBIDirectorKash 我愿意花200美元删除这条推文”，并附上了她的ko-fi打赏链接。

二、攻击技术剖析：ClickFix如何诱骗用户交出自己的Mac

此次攻击采用的正是在全球日益猖獗的“ClickFix”社会工程技术。微软威胁情报部门在一份分析报告中指出：“ClickFix社会工程技术越来越受欢迎，每天都有针对全球数千家企业和终端用户的攻击活动。”

据PCMag首席记者迈克尔·坎的实地测试，他在自己的MacBook上使用Chrome浏览器访问BasedApparel.com时，成功复现了这一攻击（尽管仅在Chrome上触发过一次）。攻击的具体链条如下：

第一步，当用户访问basedapparel.com/product-category/the-kash-foundation/时，恶意页面加载一个高度仿真的伪造Cloudflare验证界面。该页面显示“检测到异常网络流量”的警告，要求用户证明自己是真人——这一设计利用了普通网民对Cloudflare安全验证的日常熟悉度，极大地降低了警惕性。

第二步，页面给出的验证指令极为反常：它要求用户打开macOS内置的终端工具，点击页面上的“复制”按钮来复制一个看似无害的命令——“我不是机器人：Cloudflare验证ID：801470”。

第三步才是真正的陷阱。用户点击“复制”时，剪贴板中实际被写入的是一段经过混淆处理的隐藏命令，表面呈现为乱码。一旦用户在终端中粘贴并执行，该命令便会解码并从黑客控制的域名获取一个shell脚本。

debbie在分析恶意代码后向PCMag透露了一个值得注意的技术细节：“它就是一个典型的窃取信息程序，用base64包装了两层。不过，它居然是用AppleScript编写的，这倒是挺有意思的。”

该窃取程序一旦运行，将系统地收割受害者设备中的敏感数据：基于Chromium内核浏览器中存储的登录凭证、加密货币钱包数据、会话令牌、钥匙串信息等，将这些数据打包成zip压缩文件，发送至黑客控制的远程域名。

值得注意的是，苹果公司近期在macOS Tahoe 26.4中恰恰引入了一项针对性安全措施，可阻止并警告用户不要在终端中运行复制粘贴的命令，因为这类命令可能包含恶意软件。该更新发布在此次攻击前不久，但显然多数用户尚未升级或启用该防护。

三、帕特尔与网站：法律已切割，品牌印记犹存

面对媒体质询，联邦调查局发表声明试图划清界限：“Based Apparel已不再是帕特尔局长的网站。帕特尔在被任命为联邦调查局局长之前就已出售了与该网站的所有权益，并且不再从中获利。”

Based Apparel由帕特尔与安德鲁·奥利斯（Andrew Ollis）共同创立。奥利斯是一名直销企业家，与帕特尔有诸多商业联系。据报道，帕特尔早在2025年2月前就已从该服装店辞职。

然而，法律上的切割并未完全抹去符号层面的关联。材料明确指出，帕特尔的名字和他个人基金会的图案仍然印在店内出售的T恤和连帽衫上。更关键的是，此次恶意页面恰出现在商品目录中与“the-kash-foundation”相关的页面路径下。这种“所有权已转让、名人效应犹存”的尴尬状态，为攻击者提供了绝佳的钓鱼诱饵：受害者因为对帕特尔相关内容的兴趣而点击链接，却浑然不知自己正踏入一个精心布置的恶意陷阱。

安全研究人员警告，实施ClickFix攻击的黑客通常通过窃取合法网站登录凭证、篡改暴露的后台管理面板或攻击存在漏洞的插件来渗透目标站点。截至报道发布时，Based Apparel网站已被全面下线，但该公司本身未对事件作出任何回应。

四、两月两度“上榜”的讽刺图景

今年3月，被广泛认为是伊朗情报机构幌子的Handala黑客组织入侵了帕特尔曾经使用过的Gmail个人邮箱。时隔仅约两个月，他创办的服装品牌网站又沦为攻击平民的恶意软件跳板。国家最高执法机构的掌舵人，其名字两度与网络安全丑闻绑定——这一反差构成了高度讽刺的画面，也再次凸显了数字时代个人品牌资产管理与网络安全的脆弱交织。

参考文献

[1] Wang, T. (2026, May 22). FBI director’s former apparel brand hit by malware. CU Info Security. https://www.cuinfosecurity.com/fbi-directors-former-apparel-brand-hit-by-malware-a-31767

[2] Kan, M. (2026, May 21). Kash Patel’s apparel website tried to trick visitors into installing malware. PCMag. https://www.pcmag.com/news/kash-patels-apparel-website-tried-to-trick-visitors-into-installing-malware

[3] debbie [@dm4uz3]. (2026, May 22). Tweets regarding Based Apparel ClickFix attack [Tweets]. X. https://x.com/dm4uz3

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《FBI局长卡什·帕特尔再上网安热榜：前服装品牌网站遭ClickFix攻击，macOS用户成猎物》