病毒入侵了我的 Mac：一次 curl | zsh 诱导安装事件的完整取证复盘

本周六我在在开发mac 清理程序对标产品时 ，谷歌检索了关键字【macclean】谷歌搜索排行第一位是木马git，是的你没听错，一个没有star没有程序、只有一个Readme.md 的项目出现在谷歌搜索第一位，可能是最近几天太劳累了【眼皮已经跳了3天】，我竟然执行了他的curl、竟然给了root 密码，然后它提示我当前设备不支持，就立刻关闭了mac终端，我册那我瞬间来了精神。等我回头研究这个git时我后悔莫及。空项目！是的我刚才说的只有一个readme的空组织项目。完蛋，我中毒了
1、我是用grok4.2 搜索 发现是木马 我又用qwen 3.6 再次确认是木马，给我清理意见 和命令 。最开始他们都推荐我安装了malwarebytes，这次malwarebytes 让我很失望，它没揪出木马，是的你没听错，malwarebytes没杀出！
2、我开始用Cli qwen3.6查杀，给了root 权限，没找到任何不安全的（垃圾）
3、我开始用GPT 5.4 high root 查杀，经过一会，gpt 就找到了它的伪装 、它伪装为谷歌更新程序、藏的很深，我立刻干掉了它，后续分析已经泄漏的信息，这个病毒实在太厉害了后面我会介绍




下面是基于本机证据整理的技术复盘帖。**【AI整理的】**文中个人邮箱、账号、服务账号、密钥名等信息均已脱敏；恶意域名、样本路径、IOC、哈希、攻击行为保留原样，方便安全同行和普通用户做识别与排查。
截止发帖木马的Github组织已被注销、感谢GIT
CF已经受理木马钓鱼投诉

0. 先说结论
这不是“装了一个不靠谱清理软件”，而是一次真实的恶意脚本执行事件。
核心恶意行为


设备指纹采集 + C2 注册：每次运行都会把你的机器唯一标识、IP、系统版本上报给 pewqpeee888.com。


动态 payload 执行：服务器可以随时下发任意 base64 编码的 shell 命令（/tmp/.c.sh），实现远程控制、下载下一阶段恶意软

最近看到不少一谈国内开源模型的言论：
“不如GPT5.4,不如opus 4.6”
“改了几遍改不对 用GPT/Opus一遍就过了”
打他们？不切实际的幻想罢了

虽然开源模型发布的时候会去和顶尖的商业闭源模型作比较，但是这不是说就能比肩他们。往往只是在某几个benchmark接近，大部分实际能力还是有所差别的。
昨天发的帖子里说过点:
https://linux.do/t/topic/1949776
就算有些厂商擦边宣传了，不少自媒体沸腾了，但是作为来L站学AI的佬们，还是应该擦亮眼睛，能力能差不多达到前两代就已经谢天谢地了。
开源模型至少落后这些至少半年，所以放弃掉不切实际的幻想吧。
佬现在手头用的GPT5.4,Opus 4.6就是现在无可置疑的王，新出的开源模型要比也是去和GPT5，sonnet 4.5比。
但是因为记忆滤镜和agent工具本身在进化，所以5和sonnet 4.5的真实实力其实是会有记忆偏差的，所以有时候离谱点会有错觉，开源模型甚至比不过GPT 3.5。
我记得去年在群里聊有个老哥说他的项目只能用claude sonnet 3.7写，其他的都不能一遍写出来，只有sonnet 3.7能做到，最近又看到他说这个项目只能opus 4.6写，其他的都不行，sonnet 4.6也不可以。 (这个其实就是任务难度变了，使用方式变了）
但是在他的印象里就是sonnet 3.7到opus 4.6一直可以，国产模型却不行，国产模型可能不如3.7，变量没有控制好。
最后还是让AI总结下我要表达的内容 似乎有点散了：


补充 对于价格，直接让AI代笔：

这首歌0s-2s位置处

效果录制下来是失真的，肉眼看是HDR
录制效果

实际肉眼看到的类似HDR，佬们试试呢