一场新型恶意攻击正以 macOS 开发者为目标，通过仿冒 Homebrew、LogMeIn 与 TradingView 三大平台，传播 AMOS、Odyssey 等窃密恶意软件。该攻击采用 "ClickFix" 技术，诱骗受害者在终端中执行命令，从而自行感染恶意软件。

此次攻击者选择的三个仿冒对象，均是苹果用户日常高频使用的工具，具备高信任度，便于伪装：

·Homebrew：热门开源包管理系统，能简化 macOS 与 Linux 系统的软件安装流程。此前威胁者就曾冒用其名义，通过恶意广告传播 AMOS；

·LogMeIn：远程访问服务，常用于设备远程控制与团队协作；

·TradingView：金融图表与市场分析平台，广泛服务于开发者及金融从业者。

威胁狩猎公司 Hunt.io 的研究人员发现，此次攻击中，攻击者搭建了超过 85 个仿冒上述三个平台的域名，包括：

Hunt.io 发现的一些域名

部分仿冒网站的流量通过谷歌广告引导——攻击者通过付费推广，让仿冒网站出现在谷歌搜索结果中，大幅提升曝光量与诱导成功率。

诱骗细节：终端命令藏陷阱，伪装成 " 安全步骤 "

研究人员指出，恶意网站会搭建 " 看似正规的虚假应用下载入口 "，核心诱骗手段集中在终端命令上：

1. 直接引导执行命令：明确指示用户复制 curl 命令到终端，伪装成 " 快速安装步骤 "；

自制主题的 ClickFix 页面

2. 隐蔽替换复制内容：以 TradingView 仿冒网站为例，恶意命令被包装成 " 连接安全确认环节 "。用户点击 " 复制 " 按钮时，剪贴板中并非页面显示的 Cloudflare 验证 ID，而是一段经过 base64 编码的恶意安装命令。

感染流程：绕开系统防护，逐步完成窃密

用户执行恶意命令后，攻击会按固定步骤推进，最终实现数据窃取：

假 TradingView 页面

1. 解码脚本与下载载荷：命令先获取并解码 "install.sh" 脚本，再通过脚本下载恶意载荷二进制文件；

2. 绕过系统安全机制：脚本会删除 " 隔离标记 "、绕过 macOS 的 Gatekeeper 安全提示，确保恶意软件能正常运行；

3. 规避分析环境：载荷（AMOS 或 Odyssey）执行前，会先检查当前环境是否为虚拟机或安全分析系统，避免被检测；

4. 获取权限与隐藏行为：调用 sudo 命令获取 root 权限，首次行动即收集主机硬件与内存信息；随后通过 " 终止 OneDrive 更新进程 "" 与 macOS XPC 服务交互 "，将恶意行为伪装成合法进程；

5. 窃取数据并外传：激活窃密模块，盗取浏览器存储数据、加密货币凭证等敏感信息，最终发送至命令与控制（C2）服务器。

两款窃密软件：功能成熟，覆盖多类敏感数据

此次传播的两款恶意软件均具备针对性窃密能力，特性如下：

·AMOS：2023 年 4 月首次被记录，以 " 恶意软件即服务（MaaS）" 模式运营，月订阅费 1000 美元，可窃取感染设备上的各类数据。近期开发者还为其新增后门模块，让攻击者获得远程持久访问权限；

·Odyssey Stealer：由 CYFIRMA 研究人员于今年夏季首次披露，是基于 Poseidon Stealer 衍生的新型软件，而 Poseidon Stealer 本身又源自 AMOS。它主要盗取 Chrome、Firefox、Safari 浏览器的凭证与 Cookie、上百种加密货币钱包扩展数据、钥匙串（Keychain）信息及个人文件，最终以 ZIP 格式发送给攻击者。

强烈建议用户若未完全理解网上找到的终端命令用途，切勿将其粘贴执行——这是防范此类攻击最直接有效的方式。