慢雾与 Chainbase 联合披露，一起针对 macOS 的 Token Vesting 钓鱼攻击正在传播。攻击者伪装成“审计/合规确认”“Token 解锁确认”等邮件，投递带双重扩展名的恶意附件（如 .docx.scpt），诱导用户自行执行脚本，进而窃取系统密码、绕过 TCC 权限并部署 Node.js 后门。安全团队提醒，若已打开附件或输入密码，应立即断网并排查系统。