Angriffe übers Terminal: Apple verhindert Kommando-Ausführung

Mit macOS Tahoe 26.4, erschienen in dieser Woche, hat Apple eine neue Warnfunktion integriert, die Nutzer vor der Ausführung gefährlicher Kommandozeilenbefehle abhalten soll. Wie Nutzer in sozialen Medien wie Reddit berichten, scheint dabei eine Überwachung der Zwischenablage zu erfolgen. Erkennt Apple hier möglichen Schadcode, ist ein Einfügen gar nicht erst möglich. Allerdings blieb zunächst unklar, wann genau die Warnung anschlägt.

Kommandozeile als neuer Angriffsvektor – Nutzer hilft

Zuletzt interessierten sich immer mehr User für die Kommandozeile und Apples Terminal-App auf dem Mac. Der Grund ist der Hype um KI-Assistenten und KI-Programmierwerkzeuge wie OpenClaw und Claude Code. Während OpenClaw am einfachsten per Kommandozeile installiert wird, interagiert man mit Claude Code und anderen Coding-Assistenten oft direkt über das Terminal. All das heißt, dass mehr Nutzer überhaupt mit dem Terminal in Berührung kommen, darunter auch viele Einsteiger. Um nicht viel eintippen zu müssen, kopieren sie dann Kommandozeilenbefehle aus dem Web und führen sie – nicht selten inklusive Eingabe eines Administratorpassworts – auch gleich aus.

Auf diese Weise kann Schadcode sehr einfach den ganzen Rechner übernehmen. Zuletzt war dies beim Infostealer GhostClaw respektive GhostLoad häufiger passiert, für den gefälschte GitHub-Repositories sowie auch npm-Pakete zur Verbreitung dienten. Auch hier interagieren Nutzer direkt mit der Kommandozeile, ohne möglicherweise zu wissen, was sie dort tun.

Was im Hintergrund passiert, verrät Apple nicht

Apples neue Terminal-Gefahrenwarnung ergänzt bestehende Werkzeuge, um das Ausführen von Schadcode per Klick zu verhindern. Erkennt macOS ab 26.4 problematischen Code, taucht künftig die Warnung auf, dass es sich „möglicherweise um Malware“ handelt und die Befehle landen nicht im Terminal. In dem Pop-up heißt es weiter, der Mac sei nicht beschädigt worden – und es wird erläutert, dass Betrüger zunehmend versuchten, über eingefügten Text im Terminal eine Schädigung des Rechners zu erreichen – „oder ihre Privatsphäre zu kompromittieren”. Apple erläutert weiter, dass diese Scam-Anleitungen „über Websites, Chat-Agenten, Apps, Dateien oder Telefonanrufe“ verteilt würden.

Nutzer können sich dazu entscheiden, den Inhalt doch ins Terminal einzufügen. Apple blockiert also bislang nicht strikt. Angaben dazu, welche Befehle die Warnungen genau auslösen und ob das System etwa in nachgeladenen Shell-Skripte schaut, die von Angreifern oft verwendet werden, ist unklar. Bei einem Versuch mit einer legitimen CLI-Anwendung (Command Line Interface) eines Audiodienstes, die auch ein Administratorpasswort verlangt (was problematisch sein kann), wurde das Kommando nicht gestoppt.

(bsc)