病毒入侵了我的 Mac：一次 curl | zsh 诱导安装事件的完整取证复盘

本周六我在在开发mac 清理程序对标产品时 ，谷歌检索了关键字【macclean】谷歌搜索排行第一位是木马git，是的你没听错，一个没有star没有程序、只有一个Readme.md 的项目出现在谷歌搜索第一位，可能是最近几天太劳累了【眼皮已经跳了3天】，我竟然执行了他的curl、竟然给了root 密码，然后它提示我当前设备不支持，就立刻关闭了mac终端，我册那我瞬间来了精神。等我回头研究这个git时我后悔莫及。空项目！是的我刚才说的只有一个readme的空组织项目。完蛋，我中毒了
1、我是用grok4.2 搜索 发现是木马 我又用qwen 3.6 再次确认是木马，给我清理意见 和命令 。最开始他们都推荐我安装了malwarebytes，这次malwarebytes 让我很失望，它没揪出木马，是的你没听错，malwarebytes没杀出！
2、我开始用Cli qwen3.6查杀，给了root 权限，没找到任何不安全的（垃圾）
3、我开始用GPT 5.4 high root 查杀，经过一会，gpt 就找到了它的伪装 、它伪装为谷歌更新程序、藏的很深，我立刻干掉了它，后续分析已经泄漏的信息，这个病毒实在太厉害了后面我会介绍




下面是基于本机证据整理的技术复盘帖。**【AI整理的】**文中个人邮箱、账号、服务账号、密钥名等信息均已脱敏；恶意域名、样本路径、IOC、哈希、攻击行为保留原样，方便安全同行和普通用户做识别与排查。
截止发帖木马的Github组织已被注销、感谢GIT
CF已经受理木马钓鱼投诉

0. 先说结论
这不是“装了一个不靠谱清理软件”，而是一次真实的恶意脚本执行事件。
核心恶意行为


设备指纹采集 + C2 注册：每次运行都会把你的机器唯一标识、IP、系统版本上报给 pewqpeee888.com。


动态 payload 执行：服务器可以随时下发任意 base64 编码的 shell 命令（/tmp/.c.sh），实现远程控制、下载下一阶段恶意软

最近看到不少一谈国内开源模型的言论：
“不如GPT5.4,不如opus 4.6”
“改了几遍改不对 用GPT/Opus一遍就过了”
打他们？不切实际的幻想罢了

虽然开源模型发布的时候会去和顶尖的商业闭源模型作比较，但是这不是说就能比肩他们。往往只是在某几个benchmark接近，大部分实际能力还是有所差别的。
昨天发的帖子里说过点:
https://linux.do/t/topic/1949776
就算有些厂商擦边宣传了，不少自媒体沸腾了，但是作为来L站学AI的佬们，还是应该擦亮眼睛，能力能差不多达到前两代就已经谢天谢地了。
开源模型至少落后这些至少半年，所以放弃掉不切实际的幻想吧。
佬现在手头用的GPT5.4,Opus 4.6就是现在无可置疑的王，新出的开源模型要比也是去和GPT5，sonnet 4.5比。
但是因为记忆滤镜和agent工具本身在进化，所以5和sonnet 4.5的真实实力其实是会有记忆偏差的，所以有时候离谱点会有错觉，开源模型甚至比不过GPT 3.5。
我记得去年在群里聊有个老哥说他的项目只能用claude sonnet 3.7写，其他的都不能一遍写出来，只有sonnet 3.7能做到，最近又看到他说这个项目只能opus 4.6写，其他的都不行，sonnet 4.6也不可以。 (这个其实就是任务难度变了，使用方式变了）
但是在他的印象里就是sonnet 3.7到opus 4.6一直可以，国产模型却不行，国产模型可能不如3.7，变量没有控制好。
最后还是让AI总结下我要表达的内容 似乎有点散了：


补充 对于价格，直接让AI代笔：

这首歌0s-2s位置处

效果录制下来是失真的，肉眼看是HDR
录制效果

实际肉眼看到的类似HDR，佬们试试呢

可恶的版石外包
来吐槽吐槽 也看看佬有没有办法救救孩子
我与3.4号入职版石外包 当初跟我说的项目长期 最低6个月 长期我才觉得可以一试 没想到啊 没想到啊 才干到3.31号。甲方就来了一推大的
直接要求我们请假4.1-3号请假3天 我还不知道怎么回事 后面问了甲方人事 说现在是公司存亡时刻 说白可能要g了 也就是在休息一天之后 外包版刘(招聘的) 说我试用期不合格说我提交代码规范没合格 甲方不要了 这时候我没认 我说不合格 他不在群里面通知我 还吧代码合并进去 我没认 他后面也没跟我沟通 到清明节前一天 他说我继续让我去打卡上班 还说甲方负责人会给我说法 我没理会 就这样开始4月的第一天班 跟平时一样 看看代码有没有合并进去 还来看看收集一点证据 没想到 代码库进不去了 然后公司群也t了我 然后我就问结果外包同事 他们也是一样 接下来就是打卡摸鱼看面试然后焦虑然后电脑硬盘坏雪上加霜  后面几天反反复复 他又来问甲方可找我。我说没有 又到7号 来了一个新人事 告诉我甲方因为经济问题 15号退场 然后我也及时回复 没有理我 中间刘还是一问三不知 一直在问我甲方有没有找我   我9号受不了吧聊天截图扔给他 沉沉默不语 说找项目经理 （每次问到难回答的问题怎么就不说话了 )
到了今天14号。他终于来找了 也是奇奇怪怪 还是跟我纠结甲方的状态 我就回复了一大段
然后接下来就需要电话沟通。我没接 因为就已经很烦
问题在于  前面外包同事的人事都找他沟通 我这个充耳不闻 我了解到的是 他那边谈就是让他自己离职 要摸提供面试 面试还是五湖四海 而且给的价也低的可怕 他跟我一样 就想要半个月赔偿就走人 他那边也没有谈下来 主要明天就是最后一天了 坐完 何去何从