惡意軟件 Infiniti Stealer 以 ClickFix 攻擊竊取 Mac 加密資產

GoPlus Security 3月31日緊急報告，新型惡意軟件 Infiniti Stealer 針對全球 Mac 用戶發起「ClickFix」攻擊，透過偽造 Cloudflare CAPTCHA 頁面誘導用戶手動粘貼執行惡意指令。此攻擊首階段腳本會移除 macOS 隔離屬性（com.apple.quarantine），將二階段載荷寫入 /tmp 目錄並在背景靜默運行，最終載荷為 Nuitka 編譯的 Python 竊密程式，可竊取 Chromium/Firefox 瀏覽器憑證、macOS Keychain 密碼儲存庫、加密貨幣錢包（如 MetaMask、Electrum）及開發者 .env 敏感文件。該程式具備沙箱檢測與延時執行（30分鐘後觸發）等隱蔽技術，避免被安全軟體偵測。專家強調，用戶如點擊不明連結或安裝未驗證軟體，將導致資產被盜，建議立即停用設備並在乾淨裝置重置所有憑證，避免造成不可逆損失。

惡意軟件攻擊技術細解

Infiniti Stealer 的攻擊鏈路展現高度專業化設計。攻擊者先製造逼真的 Cloudflare 驗證頁面，誘導用戶點擊「點擊此處修復」按鈕，實際執行的 Bash 腳本會使用 xattr 命令移除 macOS 的隔離屬性，使系統誤判為安全來源。隨後，腳本從惡意伺服器下載二階段載荷（通常為 Base64 編碼的二進位檔），寫入 /tmp 資料夾並設定為隱藏屬性，避免用戶察覺。最終載荷經 Nuitka 編譯成單一可執行檔，大幅降低反病毒軟體的檢測機率。技術分析顯示，該程式會檢查系統是否運行在虛擬機（如 VirtualBox）或沙箱環境，若檢測到則自動終止，確保僅在真實設備上運作。此手法與 2023 年針對 Windows 的「Agent Tesla」攻擊類似，但針對 Mac 平台的精準化設計更為罕見，凸顯攻擊者對 macOS 架構的深入掌握。根據 GoPlus 資料庫，此類攻擊在 2026 年 Q1 新增案例激增 40%，主要目標為加密貨幣交易者及 Web3 開發者，反映出資產竊取犯罪鏈的專業化趨勢。

竊取目標與隱蔽特性分析

Infiniti Stealer 的竊取範圍涵蓋多層敏感資料，對用戶資產安全構成系統性威脅。核心竊取對象包括：Chromium 及 Firefox 瀏覽器的憑證儲存（含自動登入帳號密碼）、macOS Keychain 中的 Wi-Fi 密碼與應用程式密鑰、加密錢包的私鑰（如 Ledger 硬體錢包的連接憑證）以及開發者 .env 文件（內含 API 金鑰與資料庫連線資訊）。值得注意的是，該程式會主動搜尋特定加密協議文件夾（如 ~/Library/Application Support/Electrum），並利用 macOS 的 Spotlight 搜尋功能快速定位目標，大幅提高竊取效率。隱蔽特性方面，程式啟動後會注入合法程序（如 Finder）的進程，偽裝成系統服務，同時採用時間延遲執行機制——在用戶操作後 30 分鐘才觸發竊取行為，避開即時安全監控。GoPlus 研究員指出，此技術與 2024 年「Raccoon Stealer」攻擊手法類似，但新增了對 Apple Silicon 處理器的優化，使其在 M1/M2 設備上運行更隱蔽。根據統計，2025 年加密資產盜竊案中，37% 與此類工具直接相關，單筆損失中位數達 15 萬美元，凸顯防護措施的迫切性。

安全防護建議與產業影響

面對此威脅，安全專家提出三層防護策略：第一層預防，用戶應嚴格避免點擊郵件或社群媒體中的「系統修復」連結，並僅從 App Store 安裝軟體，啟用 macOS 的「安全性與隱私」設定中的「僅允許 App Store 和已認證開發者」選項；第二層監控，定期使用 Activity Monitor 檢查可疑進程（如 /tmp 下的異常執行檔），並安裝如 Little Snitch 等網路監控工具；第三層應急，若懷疑設備遭入侵，立即斷開網路，透過恢復模式重裝系統，並在乾淨裝置上重置所有加密錢包密碼與交易所 API 金鑰。產業層面，此事件加速 Web3 安全標準升級，Apple 已在 macOS 15.4 更新中強化 Gatekeeper 機制，新增對 /tmp 執行檔的動態分析。同時，加密安全廠商如 Ledger 也推出「硬件錢包驗證」功能，要求連接時需物理按鈕確認。更關鍵的是，安全產業預測，2026 年企業級加密資產防護支出將增長 25%，主要用於部署端點檢測與響應（EDR）系統，以應對此類精準攻擊。用戶務必認清「系統修復」連結多為詐騙，並定期備份敏感資料至離線硬體錢包，才能有效降低風險。