ClickFix: Interceptado no ⌘+V

Este post detalha uma defesa leve para macOS contra ataques ClickFix — agora integrada ao BlockBlock v2.3.0 — que intercepta atalhos ⌘+V via monitoramento global NSEvent. A ferramenta pausa o processo do terminal com SIGSTOP e solicita ao usuário que revise o conteúdo da área de transferência antes da execução. ️ Esta abordagem funciona em todos os principais emuladores de terminal e é particularmente eficaz, visto que a maioria das campanhas ClickFix documentadas — incluindo as recentes da APT norte-coreana UNC1069 e ataques propagados por LLM — instruem explicitamente as vítimas a usar o atalho de teclado. No entanto, existem limitações notáveis, como a falta de cobertura para operações de colar com clique direito e a dependência de permissões de Acessibilidade. A ausência de um evento ES_EVENT_TYPE_AUTH_PASTE equivalente no framework Endpoint Security da Apple torna a interceptação no user-space a única abordagem prática para essa proteção.