PANews는 5월 11일, 크립토폴리탄(Cryptopolitan)의 말을 인용하여 마이크로소프트 보안 연구팀이 공격자들이 2025년 말부터 가짜 macOS 문제 해결 가이드를 유포해 사용자들을 속여 악성 터미널 명령어를 실행하게 함으로써 암호화된 지갑, iCloud 데이터, 브라우저에 저장된 비밀번호 등을 탈취해 왔다는 사실을 발견했다고 보도했습니다. 미디엄(Medium), 크래프트(Craft), 스퀘어스페이스(Squarespace) 등의 플랫폼에 게시된 이 가짜 가이드들은 디스크 공간 확보나 시스템 오류 수정과 같은 일반적인 사용자 문제를 다루는 것처럼 위장하여, 사용자들이 악성 명령어를 복사하여 터미널에 붙여넣도록 유도합니다. 이러한 명령어를 실행하면 악성코드가 자동으로 다운로드되고 실행됩니다.

ClickFix라고 알려진 이 소셜 엔지니어링 기법은 피해자가 명령어를 직접 실행하도록 유도하여 macOS의 Gatekeeper 보안 메커니즘을 우회합니다. 관련된 악성코드 계열에는 AMOS, Macsync, SHub Stealer 등이 있으며, 이들은 Exodus, Ledger, Trezor 등의 지갑에서 암호화된 키를 탈취할 뿐만 아니라 Chrome과 Firefox에 저장된 사용자 이름과 비밀번호도 탈취할 수 있습니다. 경우에 따라 공격자는 정식 지갑 애플리케이션을 삭제하고 트로이목마 버전으로 교체하기도 합니다. Apple은 macOS 26.4에서 잠재적으로 악성 명령어를 붙여넣는 행위를 방지하는 보호 기능을 추가했습니다.