Menurut Cryptopolitan pada 11 Mei, tim Riset Keamanan Microsoft Defender merilis hasil investigasi yang menemukan bahwa penyerang sejak akhir 2025 telah memublikasikan panduan pemecahan masalah macOS palsu di platform seperti Medium dan Craft. Panduan tersebut mendorong pengguna untuk menjalankan perintah berbahaya di Terminal, sehingga menginstal malware yang mencuri kunci dompet kripto, data iCloud, serta kata sandi yang tersimpan di browser.
Mekanisme Serangan: ClickFix Mengakali Gatekeeper macOS
Berdasarkan laporan tim Riset Keamanan Microsoft Defender, penyerang menggunakan teknik rekayasa sosial bernama ClickFix: memublikasikan panduan pemecahan masalah macOS yang disamarkan sebagai rilis ruang disk atau perbaikan kesalahan sistem di platform seperti Medium, Craft, dan Squarespace. Panduan itu mengarahkan pengguna untuk menyalin perintah berbahaya dan menempelkannya ke macOS Terminal; setelah perintah dijalankan, malware akan otomatis diunduh dan dijalankan.
Menurut laporan Microsoft, metode ini mengakali mekanisme keamanan Gatekeeper macOS, karena Gatekeeper memverifikasi tanda kode dan validasi notaris untuk aplikasi yang dijalankan melalui Finder, tetapi cara pengguna menjalankan perintah langsung di Terminal tidak terikat pada langkah verifikasi tersebut. Peneliti juga menemukan bahwa penyerang menggunakan curl, osascript, dan alat bawaan macOS lainnya untuk mengeksekusi kode berbahaya langsung di memori (serangan tanpa file), sehingga alat antivirus standar sulit mendeteksi.
Keluarga Malware, Cakupan Pencurian, dan Mekanisme Khusus
Menurut laporan Microsoft, aktivitas serangan ini melibatkan tiga keluarga malware (AMOS, Macsync, SHub Stealer) dan tiga jenis program penginstal (Loader, Script, Helper). Data target yang dicuri meliputi:
Kunci dompet kripto: Exodus, Ledger, Trezor
Kredensial akun: iCloud, Telegram
Kata sandi tersimpan browser: Chrome, Firefox
Dokumen dan foto pribadi: file lokal berukuran kurang dari 2 MB
Setelah malware diinstal, ia akan menampilkan kotak dialog palsu yang meminta pengguna memasukkan sandi sistem untuk menginstal “alat bantu”. Jika pengguna memasukkan sandi, penyerang dapat memperoleh akses penuh ke dokumen lengkap serta konfigurasi sistem. Laporan Microsoft juga menyebutkan bahwa pada beberapa kasus, penyerang menghapus aplikasi legal Trezor Suite, Ledger Wallet, dan Exodus, lalu menggantinya dengan versi yang menyisipkan trojan untuk memantau transaksi dan mencuri dana. Selain itu, program yang dimuat oleh malware berisi sakelar terminasi: bila mendeteksi tata letak keyboard berbahasa Rusia, malware akan otomatis berhenti menjalankan eksekusi.
Aktivitas Serangan Terkait dan Langkah Proteksi Apple
Berdasarkan investigasi peneliti keamanan ANY.RUN, Lazarus Group telah melancarkan operasi peretasan bernama “Mach-O Man”, yang menggunakan teknik serupa dengan ClickFix. Serangan itu menargetkan perusahaan fintech dan kripto dengan sistem operasi utama macOS melalui pemalsuan undangan rapat.
Cryptopolitan juga melaporkan bahwa kelompok peretas Korea Utara Famous Chollima menggunakan kode yang dihasilkan AI untuk menyisipkan paket npm berbahaya ke proyek transaksi kripto. Malware tersebut menggunakan arsitektur pengaburan berlapis dua, mencuri data dompet serta informasi rahasia sistem.
Menurut laporan, Apple telah menambahkan mekanisme proteksi pada versi macOS 26.4 yang dapat mencegah perintah yang ditandai sebagai berpotensi berbahaya ditempelkan ke terminal macOS.
Pertanyaan yang Sering Diajukan
Sejak kapan aktivitas serangan ClickFix macOS yang diungkap Microsoft Defender dimulai, dan dipublikasikan di platform apa?
Berdasarkan laporan tim Riset Keamanan Microsoft Defender dan Cryptopolitan pada 11 Mei 2026, aktivitas serangan mulai aktif sejak akhir 2025. Penyerang memublikasikan panduan pemecahan masalah macOS palsu di platform seperti Medium, Craft, dan Squarespace untuk mendorong pengguna Mac menjalankan perintah Terminal berbahaya.
Aktivitas serangan ini menargetkan dompet kripto dan jenis data apa?
Berdasarkan laporan Microsoft Defender, malware yang terlibat (AMOS, Macsync, SHub Stealer) dapat mencuri kunci dompet kripto Exodus, Ledger, dan Trezor, data akun iCloud dan Telegram, serta nama pengguna dan kata sandi yang tersimpan di Chrome dan Firefox.
Tindakan proteksi apa yang diterapkan Apple untuk jenis serangan ini?
Berdasarkan laporan, Apple menambahkan mekanisme proteksi di versi macOS 26.4 yang memblokir penempelan perintah yang ditandai sebagai berpotensi berbahaya ke Terminal macOS, untuk menurunkan tingkat keberhasilan serangan rekayasa sosial tipe ClickFix.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Developer Wagyu Membantah Rug Pull XMR1, Menjelaskan Penarikan Melalui Terminal
Menurut Foresight News, pengembang Wagyu PerpetualCow mengklarifikasi bahwa pemegang token XMR1 dapat menarik dana melalui Terminal, bukan melalui UI cross-chain lama, sambil membantah tuduhan Rug Pull yang baru-baru ini beredar. Pengembang tersebut menyatakan bahwa tidak ada pengguna yang melaporkan kegagalan penarikan, dan antarmuka swap sudah menuliskan metode penarikan yang benar. Anggota komunitas sebelumnya mengangkat kekhawatiran bahwa Wagyu mirip Rug Pull, dengan setoran XMR yang berpote
GateNews1jam yang lalu
Penerapan Renegade V1 di Arbitrum Diserang, Rugi $209K; Peretas White Hat Mengembalikan $190K
Menurut pernyataan resmi Renegade di X, deployment legacy V1 Arbitrum milik protokol diserang pada dini hari ini (11 Mei), yang menyebabkan kerugian sekitar $209.000. Seorang white hat hacker telah mengembalikan sekitar $190.000, dan tim mengonfirmasi bahwa semua pengguna yang terdampak akan menerima kompensasi penuh. Tim mengonfirmasi kerentanan tersebut hanya ada pada deployment V1 Arbitrum; deployment V1 Base, V2 Arbitrum, dan V2 Base tetap aman. Seluruh infrastruktur yang mendukung transaksi
GateNews2jam yang lalu
USDT0 Mengumumkan Mekanisme Validasi 3/3 dan Program Bug Bounty $6M Setelah Insiden Kelp
Menurut Foresight News, USDT0, protokol interoperabilitas aset milik Tether, mengumumkan detail arsitektur keamanan setelah insiden Kelp. Protokol ini menggunakan Decentralized Verifier Network (DVN) milik sendiri dengan hak veto pesan dan mewajibkan tiga validator independen berbasis codebase berbeda untuk mencapai konsensus 3/3 sebelum pesan lintas-chain diproses. Node validator saat ini mencakup DVN milik USDT0, LayerZero, dan Canary. USDT0 juga meluncurkan program bug bounty senilai $6 juta
GateNews3jam yang lalu
Microsoft Menemukan Kampanye Phishing macOS yang Menargetkan Dompet Exodus, Ledger, dan Trezor Sejak Akhir 2025
Menurut tim riset keamanan Microsoft, sejak akhir 2025, para penyerang telah mendistribusikan panduan pemecahan masalah macOS palsu di platform termasuk Medium, Craft, dan Squarespace untuk menipu pengguna agar menjalankan perintah terminal berbahaya. Perintah tersebut mengunduh dan mengeksekusi malware yang dirancang untuk mencuri kunci dompet kripto dari Exodus, Ledger, dan Trezor, serta data iCloud dan kata sandi tersimpan dari Chrome dan Firefox. Keluarga malware yang terlibat mencakup AMOS,
GateNews3jam yang lalu
LayerZero Mengeluarkan Permintaan Maaf Publik untuk Respons Eksploit Kelp DAO, Mengakui Kekeliruan Satu-Verifikator di DVN
Menurut LayerZero, protokol tersebut menerbitkan permintaan maaf publik pada hari Jumat atas penanganannya terhadap eksploitasi 18 April yang menguras 292 juta dolar AS dalam rsETH dari jembatan lintas-rantai Kelp DAO, menandai perubahan nada yang signifikan dari laporan pascainsiden sebelumnya. LayerZero mengakui bahwa Decentralized Verifier Network (DVN)-nya seharusnya tidak menjadi satu-satunya verifikator untuk transaksi bernilai tinggi, dengan menyatakan: "Kami membuat kesalahan dengan meng
GateNews4jam yang lalu
LayerZero Merilis Permohonan Maaf Publik atas Eksploitasi Kelp DAO, Mengakui Pengaturan Satu Verifikator Adalah Kesalahan
Menurut unggahan blog resmi LayerZero pada Jumat, protokol tersebut mengeluarkan permintaan maaf publik atas penanganannya terhadap eksploitasi 18 April yang menguras 292 juta dolar AS dalam rsETH dari jembatan lintas-rantai Kelp DAO. LayerZero mengakui telah melakukan kesalahan dengan membiarkan Decentralized Verifier Network-nya menjadi satu-satunya verifikator untuk transaksi bernilai tinggi, membalik posisi sebelumnya yang menyalahkan pilihan konfigurasi Kelp DAO. Menanggapi insiden tersebut
GateNews10jam yang lalu
