提醒大家避坑。L 站这篇帖子里的软件安装脚本疑似存在信息窃取行为:
https://linux.do/t/topic/2420133/14
我中午 12:30 左右已经在原帖举报,并回复了本机取证发现:该安装过程会收集并疑似上传浏览器、SSH 等敏感信息。但我的取证回复随后被删除,帖子却依然存活,所以单独发到这里提醒一下。
为避免误点,下面域名做了 defang:
- quill-67[.]com
- verse-18[.]com
- 159.223.216.143:80
安装脚本行为
安装命令是典型的:
curl -s <远程脚本> | zsh
第一阶段脚本会解码 gzip + base64 payload ,然后直接 eval。
第二阶段脚本会:
- 向
verse-18[.]com/api/metrics/run?event=pasted上报 - 从
quill-67[.]com/.../kis/update下载 Mach-O 可执行文件到/tmp/helper - 执行
xattr -c /tmp/helper && chmod +x /tmp/helper && /tmp/helper
/tmp/helper 是 macOS Mach-O universal binary ,ad-hoc 签名,无 TeamIdentifier ,Gatekeeper 判定 rejected 。
本机产生的敏感文件
执行后出现:
/tmp/helper/tmp/79314/tmp/out.zip
其中 /tmp/79314 是采集目录,包含:
- Chrome / Edge 的
Login Data - Chrome / Edge 的
Cookies - Chrome / Edge 的
Web Data zsh_history.ssh里的私钥和 known_hosts- Telegram / 钱包 / FileGrabber 相关目录
/tmp/out.zip 是上述数据的压缩包。
Clash Verge 日志
执行时间附近,Clash Verge 记录到:
2026-06-17 12:26:32 curl -> quill-67[.]com:443
2026-06-17 12:26:33 curl -> quill-67[.]com:443
2026-06-17 12:26:33 curl -> verse-18[.]com:443
2026-06-17 12:27:01 curl -> 159.223.216.143:80
2026-06-17 12:27:01 curl -> 159.223.216.143:80
/tmp/out.zip 的生成时间也是 12:27:01 。Clash Verge 的 info 日志不能证明 HTTP body 和上传是否完整成功,但结合文件生成时间和 curl 外联记录,至少可以判断存在高度疑似上传行为。
建议
如果你执行过类似脚本,建议立刻:
- 检查 /tmp/helper 、/tmp/out.zip 、/tmp/<数字目录>
- 轮换 SSH key 、GitHub/GitLab/Gerrit key
- 退出浏览器所有登录会话
- 修改重要账号密码
- 检查浏览器 Cookie / 密码库是否被复制
- 检查 macOS 隐私权限,尤其是 Terminal 、shell 、可疑应用的自动化 / 辅助功能 / 完全磁盘访问
- 检查 LaunchAgents 、crontab 、shell 启动文件是否有持久化
提醒大家不要执行这种 curl | zsh 安装脚本。希望有安全分析经验的朋友能进一步核验这些域名/IP 。
Select Language