0xTodd ( thinking ) (@0xTodd) “我把所有的这种需要 bypass 所有权限的 AI，例如 Codex、CC、龙虾、Hermes，全部都装” — TopicDigg

大概一个月多前，电脑中了木马，潜伏了一个月才被发现，也导致了我的 X 账号被盗。 让 Claude 和 Codex 逐一分析系统进程时，找到了一个叫做 com\.apple.accountsd.helper.plist 的进程，乍一看还以为是苹果系统的宿主进程，但 Claude 对这个进程提出了质疑。 沿着这个线索，对 accountsd 进行了详细的分析。这个木马首先给系统添加了一个开机自启项，确保可长期潜伏，然后通过 root 权限写了一个守护脚本，每秒探测当前系统是否有新用户登录，一旦登录就通过 AppleScript 脚本切换成当前用户身份，运行一个叫做 AccountsHelper 的程序。 对 AccountsHelper（SHA256：9168cbc45f）也做二进制分析，它的依赖极少，主要职责是从远端加载指令，然后拉起一个交互式 PTY shell，攻击者就是通过这个 shell 来远程操控电脑的。木马执行的每个环节，清理工作都做的特别好，几乎所有日志都被清理干净了。 为了溯源整个中马过程，我分析了将近两个多月的系统日志，仅找到一条可疑指令：有个 curl 操作，下载并执行了一条混淆命令，这也是唯一的线索，解密指令得到了一个远端 IP地址。 后来也从公开情报里找到这个木马，它是 AMOS Stealer 恶意软件家族的变种，之前主要针对 Windows 平台，今年四月第一次在 macOS 上被发现。 从 .zhistory 日志看，curl 前后都是 Claude Code 相关操作，高度怀疑就是 Agent 程序引入了这个木马。 我的 Claude Code 长期是 bypass 模式，所有的命令执行都是直接放过，怀疑是在做软件安装或更新的时候，AI 从互联网找到了一些不安全的资源，下载了这个木马。 这个 AMOS 木马，主要会去扫各种虚拟货币钱包，尤其是浏览器插件钱包。顺带也把我各种登录态 Cookies 全部拿走了，这才导致 X 账号被恶意添加了一个 Passkey。 一般木马进来之后，除了目的性的攻击（例如虚拟钱包转账、文件加密勒索）外，它还会使劲去找各种敏感信息，尤其是浏览器里的登录态、Keychain 里保存的账号密码、聊天工具的登录状态、开发环境里的 .env 文件和各种 token，等等。 我这个教训，大家记住两点：1）所有能够加 F2A 的账号都要加，登录时的二次验证会增加攻击者的门槛；2）AI 在执行各种程序的时候，一定要注意它在执行什么，尤其是安装和更新软件的时候，要先确认再执行。 跟一些安全研究者也交流了这个木马的细节，他说近期这类事件特别高频，攻击者会伪造各种软件的官网，Google 搜出来默认都排在第一位，诱导用户（尤其是 AI）下载木马，防不胜防！