L 站某推广帖的安装脚本疑似窃取浏览器和 SSH 数据，我举报并贴证据后回复被删

提醒大家避坑。L 站这篇帖子里的软件安装脚本疑似存在信息窃取行为：

https://linux.do/t/topic/2420133/14

我中午 12:30 左右已经在原帖举报，并回复了本机取证发现：该安装过程会收集并疑似上传浏览器、SSH 等敏感信息。但我的取证回复随后被删除，帖子却依然存活，所以单独发到这里提醒一下。

为避免误点，下面域名做了 defang：

• quill-67[.]com
• verse-18[.]com
• 159.223.216.143:80

安装脚本行为

安装命令是典型的：

curl -s <远程脚本> | zsh

第一阶段脚本会解码 gzip + base64 payload ，然后直接 eval。

第二阶段脚本会：

• 向 verse-18[.]com/api/metrics/run?event=pasted 上报
• 从 quill-67[.]com/.../kis/update 下载 Mach-O 可执行文件到 /tmp/helper
• 执行 xattr -c /tmp/helper && chmod +x /tmp/helper && /tmp/helper

/tmp/helper 是 macOS Mach-O universal binary ，ad-hoc 签名，无 TeamIdentifier ，Gatekeeper 判定 rejected 。

本机产生的敏感文件

执行后出现：

• /tmp/helper
• /tmp/79314
• /tmp/out.zip

其中 /tmp/79314 是采集目录，包含：

• Chrome / Edge 的 Login Data
• Chrome / Edge 的 Cookies
• Chrome / Edge 的 Web Data
• zsh_history
• .ssh 里的私钥和 known_hosts
• Telegram / 钱包 / FileGrabber 相关目录

/tmp/out.zip 是上述数据的压缩包。

Clash Verge 日志

执行时间附近，Clash Verge 记录到：

2026-06-17 12:26:32 curl -> quill-67[.]com:443
2026-06-17 12:26:33 curl -> quill-67[.]com:443
2026-06-17 12:26:33 curl -> verse-18[.]com:443
2026-06-17 12:27:01 curl -> 159.223.216.143:80
2026-06-17 12:27:01 curl -> 159.223.216.143:80

/tmp/out.zip 的生成时间也是 12:27:01 。Clash Verge 的 info 日志不能证明 HTTP body 和上传是否完整成功，但结合文件生成时间和 curl 外联记录，至少可以判断存在高度疑似上传行为。

建议

如果你执行过类似脚本，建议立刻：

• 检查 /tmp/helper 、/tmp/out.zip 、/tmp/<数字目录>
• 轮换 SSH key 、GitHub/GitLab/Gerrit key
• 退出浏览器所有登录会话
• 修改重要账号密码
• 检查浏览器 Cookie / 密码库是否被复制
• 检查 macOS 隐私权限，尤其是 Terminal 、shell 、可疑应用的自动化 / 辅助功能 / 完全磁盘访问
• 检查 LaunchAgents 、crontab 、shell 启动文件是否有持久化

提醒大家不要执行这种 curl | zsh 安装脚本。希望有安全分析经验的朋友能进一步核验这些域名/IP 。