文章总结： 作者分析了一个伪装成机械键盘音效软件的GitHub恶意仓库。该仓库通过Base64编码的Shell脚本下载并执行木马。沙箱分析显示木马会窃取浏览器密码、Cookies、聊天记录及加密货币私钥等敏感信息。文章提供了具体的IOC链接和IP地址，警示用户警惕此类供应链投毒攻击。 综合评分： 80 文章分类： 恶意软件,威胁情报,供应链安全

这么投毒能有人中招吗？

KeepHack1ng

2026年1月1日 12:01 北京

马年大吉，万事顺遂

今天发现一个异常的 GitHub 仓库，声称是一款用于机械键盘音效的终极 macOS 应用。

当我点击下载时，页面跳转到一个黑乎乎的界面，还让我不要离开，这时我的警惕心就上来了。

下载方式是通过一个 shell 脚本，一键下载并执行，而且脚本内容还被 base64 编码，可疑。

于是我把这个脚本放在沙箱环境中分析，结果我嘞个chao，果然是个木马！

经过分析，这个木马脚本会窃取用户的敏感信息，包括浏览器密码、Cookies、聊天记录、私钥文件、钥匙串数据以及加密货币私钥等，并将这些数据发送到攻击者可控的远程服务器。

IOC：

• https://github.com/Klack-Mac/Klack-Mac-App

• http://217.119.139.117/d/xxx16560

点击上方蓝字关注我们

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：KeepHack1ng 《这么投毒能有人中招吗？》