一、触发链路
我在本站看到这条帖子： 

注册机掀桌子，一拖6，稳定7个，理论无限codex

帖子中提到了一个压缩包下载链接： 

Codex_v5.5.zip

我实际遇到的触发链路如下： 

从论坛帖子进入 Codex_v5.5.zip 下载页
跳转到 BuzzHeavier 文件页面
点击 BuzzHeavier 页面中的 “Direct: Alternative Download”
跳转到另一个站点：jovsafiles.com
该页面伪装成 GitHub 风格的 macOS 下载页
页面诱导用户执行一条终端“一键安装”命令
执行后中招

页面给出的命令，本质上属于典型的 curl | zsh 远端脚本直执行 模式。 
它并不是“下载一个 dmg 安装包”，而是： 

先解码一段 Base64 字符串，得到远端 URL
再用 curl 拉取远端脚本
最后直接通过 | zsh 执行
...