这个账号在过去一段时间,一直处于不可用状态,被黑客添加了 passkey 之后,给我改了密码,改了邮箱,改了手机号码。完全被接管。 我这个账号开启了 F2A,能加的安全措施也都加了,挺好奇是如何绕过的。 这几天让 Claude 给我电脑做了深度体检,对启动的每个进程都做了分析,排查到,有一个伪装得特别好的木马,在我电脑跑了快一个月! 申诉了好几天,也找了不少朋友帮忙,还是把账号搞回来了。后面再详细分享下过程。 另外,也注册了一个防丢的小号,可以加个关注,@barretlee_china 😄
大概一个多月前,我的电脑中了木马,潜伏了一个月才被发现,也导致了我的 X 账号被盗。 用 Claude 和 Codex 逐一分析系统进程时,发现了一个叫 com.apple.accountsd.helper.plist 的进程,乍一看以为是苹果系统进程,但 Claude 对其提出了质疑。 顺着这条线索深入分析:木马先添加开机自启项长期潜伏,再用 root 权限写守护脚本,每秒探测是否有新用户登录,一旦登录就通过 AppleScript 切换为当前用户身份,运行一个叫 AccountsHelper 的程序。 对 AccountsHelper 做二进制分析,发现它依赖极少,主要职责是从远端加载指令,然后拉起一个交互式 PTY shell,攻击者就是通过这个 shell 远程操控电脑的。木马的每个环节清理工作都做得极好,几乎所有日志都被清除。 为溯源整个入侵过程,我分析了近两个多月的系统日志,只找到一条可疑指令:一个 curl 操作,下载并执行了一段混淆命令,这是唯一线索,解密后得到一个远端 IP 地址。 从公开情报中找到了这个木马,它是 AMOS Stealer 恶意软件家族的变种,之前主要针对 Windows,今年四月首次在 macOS 上被发现。 从 .zhistory 日志看,curl 前后都是 Claude Code 相关操作,高度怀疑是 agent 程序引入了这个木马。 我的 Claude Code 长期处于 bypass 模式,所有命令直接放行,怀疑是在安装或更新软件时,AI 从互联网找到了不安全的资源并下载了木马。 AMOS 木马主要扫描各类虚拟货币钱包(尤其是浏览器插件钱包),同时也把我的各种登录 Cookie 全部窃取,这才导致 X 账号被恶意添加了 Passkey。 木马入侵后,除了针对性攻击(如虚拟钱包转账、文件加密勒索)外,还会大肆搜集敏感信息:浏览器登录态、Keychain 账号密码、聊天工具登录状态、开发环境的 .env 文件和各类 token 等。 两个教训:1)所有能开 2FA 的账号都要开,登录时的二次验证能有效提高攻击门槛;2)AI 执行各种程序时务必注意它在做什么,尤其是安装和更新软件时,要先确认再执行。 和安全研究者交流后得知,近期此类事件极高频——攻击者会伪造各类软件官网,Google 搜出来默认排在第一位,专门诱导用户(尤其是 AI)下载木马,防不胜防!
760 tweets · 188 sources