HackerNews 编译，转载请注明出处：

一款名为Infinity Stealer的新型信息窃取恶意软件正针对macOS系统，其使用开源Nuitka编译器将Python载荷打包为可执行文件。

攻击采用ClickFix技术，呈现仿冒Cloudflare人机验证的虚假验证码，诱骗用户执行恶意代码。

Malwarebytes研究人员表示，这是首个有记录的将ClickFix投递与基于Nuitka编译的Python窃密程序相结合的macOS攻击活动。

由于Nuitka通过将Python脚本编译为C代码生成原生二进制文件，生成的可执行文件对静态分析更具抵抗力。相比PyInstaller（捆绑Python字节码），Nuitka生成真正的原生二进制文件，无明显字节码层，逆向工程难度大幅提升，因而更具隐蔽性。

Malwarebytes指出：”最终载荷使用Python编写并以Nuitka编译，生成原生macOS二进制文件。这使其比典型Python恶意软件更难分析和检测。”

攻击链

攻击始于update-check[.]com域名的ClickFix诱饵，伪装成Cloudflare人机验证步骤，要求用户将base64混淆的curl命令粘贴至macOS终端，从而绕过操作系统级防御。

该命令解码Bash脚本，将第二阶段（Nuitka加载器）写入/tmp，移除隔离标志，并通过’nohup’执行。随后通过环境变量传递C2地址和令牌，最后自我删除并关闭终端窗口。

Nuitka加载器为8.6 MB的Mach-O二进制文件，内含35MB zstd压缩档案，包含第三阶段（UpdateHelper.bin），即Infinity Stealer恶意软件本身。

在开始收集敏感数据前，恶意软件执行反分析检查，判断是否运行于虚拟化/沙箱环境。

Malwarebytes对Python 3.11载荷的分析揭示，该窃密程序可截屏并收集以下数据：

• Chromium内核浏览器和Firefox的凭证

• macOS钥匙串条目

• 加密货币钱包

• 开发者文件（如.env）中的明文密钥

所有窃取数据通过HTTP POST请求外泄至C2，操作完成后向威胁行为体发送Telegram通知。

Malwarebytes强调，Infinity Stealer等恶意软件的出现证明，针对macOS用户的威胁正变得日益高级和精准。

用户切勿粘贴在网上看到且不完全理解的终端命令。

---

消息来源：bleepingcomputer.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文