Microsoftのセキュリティ調査チームによると、2025年後半以降、攻撃者はMedium、Craft、Squarespaceを含むプラットフォーム上で、偽のmacOSトラブルシューティングガイドを配布し、ユーザーに悪意のあるターミナルコマンドを実行させようとしてきた。これらのコマンドは、Exodus、Ledger、Trezorからの暗号資産ウォレットの鍵を盗むように設計されたマルウェアをダウンロードして実行し、さらにiCloudデータやChromeおよびFirefoxに保存されたパスワードも狙う。
関与しているマルウェアファミリーには、AMOS、Macsync、SHub Stealerが含まれる。場合によっては、攻撃者が正規のウォレットアプリを削除し、それらをトロイ化されたバージョンに置き換えることもある。Appleは、macOS 26.4において、潜在的に悪意のあるコマンドの貼り付けをブロックする保護を追加した。
