제미나이가 추천해준 사이트에서 "로봇 아님"을 증명하다가 해킹당함

 (mytory.net)
1P by mytory 1시간전 | ★ favorite | 댓글 1개
  • 제미나이와 대화중 추천 받은 사이트에 들어감
  • 로봇 아님 클릭 시 클립보드에 악성 명령이 미리 복사되고, 이후 인간임을 검증하려면 터미널을 열어 붙여 넣기를 하고 엔터 치라고 안내.
  • 실행하면 curl | bash 형태로 추가 스크립트를 받아 실행
  • LaunchAgents에 등록되어 재부팅/로그인 후에도 지속 실행
  • 원격 서버에서 AppleScript를 받아 실행하며 정보 수집 및 권한 상승 시도

이번 경우:

  • 관리자 비밀번호를 입력하지 않아 권한 상승은 실패
  • 하지만 사용자 권한 범위 내에서 정보 접근/수집은 일부 이뤄졌을 가능성 있음

대응:

  • 즉시 네트워크 차단
  • ~/Library/LaunchAgents 악성 plist 제거
  • 실행 프로세스 종료
  • 브라우저 모든 세션 로그아웃 후 재로그인 (쿠키 무효화)
  • SSH 키 교체

교훈:

  • 웹페이지가 “검증/인증”을 이유로 로컬 명령 실행을 요구하면 의심해야 함
  • AI가 추천하는 사이트도 의심해야 함
  • 특히 터미널/실행창/PowerShell 열어서 붙여넣기 유도하면 거의 이 패턴
  • 관리자 비밀번호 입력 요구 의심은 가장 중요한 습관이자 마지막 방어선

상세 분석, 실제 명령어, 대응 과정은 원문 참고

https://mytory.net/archives/18591

함께 보면 좋은 글 β

djfxod 44초전  [-]

터미널에서 시키는 그대로 작업을 하신다는게 대단하시네요

답변달기