根据微软安全研究团队的说法,自 2025 年底以来,攻击者一直在包括 Medium、Craft 和 Squarespace 在内的平台上分发伪造的 macOS 故障排除指南,以诱骗用户运行恶意终端命令。这些命令会下载并执行旨在从 Exodus、Ledger 和 Trezor 窃取加密货币钱包密钥的恶意软件,并窃取 iCloud 数据以及 Chrome 和 Firefox 中保存的密码。

涉及的恶意软件家族包括 AMOS、Macsync 和 SHub Stealer。在某些情况下,攻击者还会删除合法的钱包应用,并用被木马化的版本替换。苹果已在 macOS 26.4 中添加保护措施,以阻止粘贴可能具有恶意的命令。