HackerNews 编译，转载请注明出处： 一款名为Infinity Stealer的新型信息窃取恶意软件正针对macOS系统，其使用开源Nuitka编译器将Python载荷打包为可执行文件。 攻击采用ClickFix技术，呈现仿冒Cloudflare人机验证的虚假验证码，诱骗用户执行恶意代码。 Malwarebytes研究人员表示，这是首个有记录的将ClickFix投递与基于Nuitka编译的Python窃密程序相结合的macOS攻击活动。 由于Nuitka通过将Python脚本编译为C代码生成原生二进制文件，生成的可执行文件对静态分析更具抵抗力。相比PyInstaller（捆绑Python字节码），Nuitka生成真正的原生二进制文件，无明显字节码层，逆向工程难度大幅提升，因而更具隐蔽性。 Malwarebytes指出：”最终载荷使用Python编写并以Nuitka编译，生成原生macOS二进制文件。这使其比典型Python恶意软件更难分析和检测。” 攻击链 攻击始于update-check[.]com域名的ClickFix诱饵，伪装成Cloudflare人机验证步骤，要求用户将base64混淆的curl命令粘贴至macOS终端，从而绕过操作系统级防御。 该命令解码Bash脚本，将第二阶段（Nuitka加载器）写入/tmp，移除隔离标志，并通过’nohup’执行。随后通过环境变量传递C2地址和令牌，最后自我删除并关闭终端窗口。 Nuitka加载器为8.6 MB的Mach-O二进制文件，内含35MB zstd压缩档案，包含第三阶段（UpdateHelper.bin），即Infinity Stealer恶意软件本身。 在开始收集敏感数据前，恶意软件执行反分析检查，判断是否运行于虚拟化/沙箱环境。 Malwarebytes对Python 3.11载荷的分析揭示，该窃密程序可截屏并收集以下数据： Chromium内核浏览器和Firefox的凭证 macOS钥匙串条目 加密货币钱包 开发者文件（如.env）中的明文密钥 所有窃取数据通过HTTP POST请求外泄至C2，操作完成后向威胁行为体发送Telegram通知。 Malwarebytes强调，Infinity Stealer等恶意软件的出现证明，针对macOS用户的威胁正变得日益高级和精准。 用户切勿粘贴在网上看到且不完全理解的终端命令。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文