【1 day】一键RCE， macOS 10.11+（最高支持 macOS 26）

事件概述

近期，地下论坛 Spear 出现一则高危漏洞交易帖，标题为：

“Selling 1-DAY 1-click RCE MacOS 10.11 up to macOS 26 – No public exploit”

该帖子声称出售一条影响 macOS 10.11 至 macOS 26 的“一键远程代码执行（RCE）”攻击链，并强调：

• 属于“1-Day”级别（非公开或刚被发现）
• 支持“一键触发”
• 无公开 PoC / Exploit
• 可跨多个 macOS 大版本利用
• 具备实际攻击能力

从地下市场术语判断，该漏洞极有可能属于：

• 浏览器到本地执行链（Browser → Script Execution）
• ClickFix / AppleScript 社工链
• TCC/SIP 绕过辅助利用
• 本地权限提升（LPE）配合远控植入

结合近期 macOS 攻击趋势分析，该漏洞交易高度可信，且极可能已被APT组织、黑产团伙或商业间谍组织用于定向攻击。卖家声称拥有一个 1-Day（未公开）1-Click RCE 漏洞，利用后可在 macOS 10.11（El Capitan）至 macOS 26（疑似未来/测试版或笔误，指当前最新版本）上直接获得 root 权限（GID 81）。

可信度评估（中等偏低，需谨慎）

• 支持因素：

  • spear.cx 是一个专注于数据泄露、加密骗局等地下交易的论坛，有一定运营历史，卖家使用 Middleman 降低交易风险。
  • macOS RCE/LPE 漏洞在地下市场一直有需求（Apple Bug Bounty 对 zero-click/one-click RCE 奖励已高达百万美元级别）。
  • 近期确有其他 macOS 0-Day/LPE 在地下论坛出售的报道（如 skart7 的 LPE 帖）。

• 质疑因素：

  • 典型诈骗特征：地下论坛常见“1-Day 未公开”夸大宣传，许多是老漏洞、重打包或假货。未提供任何技术细节、受影响版本证明或有限 PoC。
  • 跨度极大（10.11 到“26”），对如此老版本仍有效且 1-Click 根权限，技术实现难度高（需绕过 SIP、TCC、Gatekeeper 等多层防护）。
  • 卖家未公开身份/历史信誉记录，典型“hit-and-run”销售模式。
  • macOS 26 若指未来版本，则更可能是夸大或测试版漏洞。

总体：可能是真实但被夸大的 1-Day，也可能是骗局。真实性需通过 Middleman 测试或代码审查验证。

技术分析

1. “1-Click RCE”意味着什么

所谓“1-click RCE”并不一定意味着完全无交互。

在 macOS 黑灰产语境中，通常表示：

• 用户仅需点击一次网页按钮
• 或点击一次“验证”“更新”“修复”提示
• 即可触发本地脚本执行

当前 macOS 主流攻击链已从：

Terminal -> paste command

演变为：

Browser
   ↓
applescript:// URL Scheme
   ↓
Script Editor
   ↓
AppleScript 执行
   ↓
Shell Payload
   ↓
下载 Loader / Stealer

Jamf Threat Labs 于 2026 年披露的新型 ClickFix 攻击已证明：

攻击者开始绕过 Terminal 安全提示，直接利用 Script Editor 触发恶意 AppleScript。

攻击者可能目标

1. Web3 / 加密货币行业

当前 macOS 黑产攻击最核心目标仍为：

• 助记词
• 钱包 Session
• 浏览器 Cookie
• Telegram Token

Sapphire Sleet（朝鲜背景）已明确针对：

• 区块链公司
• VC
• 加密交易平台

展开攻击。

2. 开发者群体

开发者是 macOS 攻击高危人群：

• 常执行脚本
• 信任 Terminal
• 使用 Homebrew
• 经常安装第三方工具

地下论坛与 SEO Poisoning 已大量针对开发者实施供应链攻击。

3. 企业高管

攻击者可通过：

• 邮件钓鱼
• iMessage
• LinkedIn 招聘
• Zoom 会议邀请

实现定向投递。

防御建议

• 立即措施：

  • 更新至最新 macOS 版本 + 启用 Lockdown Mode（高风险用户）。
  • 禁用不必要权限（TCC）、使用 XProtect/MRT 保持最新。
  • 避免点击不明来源链接/附件，尤其是 .dmg、.app 或伪装文档。

• 企业级：

  • 部署 EDR（如 SentinelOne、CrowdStrike）针对 macOS 的行为检测（异常进程、权限提升）。
  • 应用最小权限原则、代码签名检查、网络分段。
  • 监控地下论坛情报（类似 spear.cx 的销售动态）。
  • 教育用户识别 1-Click 社会工程攻击。

结论

这是一个典型地下 1-Day 销售帖，潜在影响较大（尤其是对高价值目标），但真实性未经验证，诈骗风险存在。建议视为中等威胁，重点加强 macOS 终端防护和补丁管理。Apple 的高额赏金机制可能很快让此类漏洞“短命”。

该“macOS 1-click RCE”交易事件反映出：

当前 macOS 威胁生态已发生根本变化：

• 攻击已从传统恶意软件转向APT化
• ClickFix 正演化为成熟攻击框架
• AppleScript 正成为新的执行热点
• Web3 与开发者成为重点受害群体