即刻App年轻人的同好社区
下载
工程师的日常
计算机工程师的逸闻趣事。
433252人已经加入
- 大概一个月多前,电脑中了木马,潜伏了一个月才被发现,也导致了我的 X 账号被盗。
让 Claude 和 Codex 逐一分析系统进程时,找到了一个叫做 com.apple.accountsd.helper.plist 的进程,乍一看还以为是苹果系统的宿主进程,但 Claude 对这个进程提出了质疑。
沿着这个线索,对 accountsd 进行了详细的分析。这个木马首先给系统添加了一个开机自启项,确保可长期潜伏,然后通过 root 权限写了一个守护脚本,每秒探测当前系统是否有新用户登录,一旦登录就通过 AppleScript 脚本切换成当前用户身份,运行一个叫做 AccountsHelper 的程序。
对 AccountsHelper(SHA256:9168cbc45f)也做二进制分析,它的依赖极少,主要职责是从远端加载指令,然后拉起一个交互式 PTY shell,攻击者就是通过这个 shell 来远程操控电脑的。木马执行的每个环节,清理工作都做的特别好,几乎所有日志都被清理干净了。
为了溯源整个中马过程,我分析了将近两个多月的系统日志,仅找到一条可疑指令:有个 curl 操作,下载并执行了一条混淆命令,这也是唯一的线索,解密指令得到了一个远端 IP地址。
后来也从公开情报里找到这个木马,它是 AMOS Stealer 恶意软件家族的变种,之前主要针对 Windows 平台,今年四月第一次在 macOS 上被发现。
从 .zhistory 日志看,curl 前后都是 Claude Code 相关操作,高度怀疑就是 Agent 程序引入了这个木马。
我的 Claude Code 长期是 bypass 模式,所有的命令执行都是直接放过,怀疑是在做软件安装或更新的时候,AI 从互联网找到了一些不安全的资源,下载了这个木马。
这个 AMOS 木马,主要会去扫各种虚拟货币钱包,尤其是浏览器插件钱包。顺带也把我各种登录态 Cookies 全部拿走了,这才导致 X 账号被恶意添加了一个 Passkey。
一般木马进来之后,除了目的性的攻击(例如虚拟钱包转账、文件加密勒索)外,它还会使劲去找各种敏感信息,尤其是浏览器里的登录态、Keychain 里保存的账号密码、聊天工具的登录状态、开发环境里的 .env 文件和各种 token,等等。
我这个教训,大家记住两点:1)所有能够加 F2A 的账号都要加,登录时的二次验证会增加攻击者的门槛;2)AI 在执行各种程序的时候,一定要注意它在执行什么,尤其是安装和更新软件的时候,要先确认再执行。
跟一些安全研究者也交流了这个木马的细节,他说近期这类事件特别高频,攻击者会伪造各种软件的官网,Google 搜出来默认都排在第一位,诱导用户(尤其是 AI)下载木马,防不胜防!56 726
