Škodlivá část je tedy v souboru 'modal.js'; TL; DR je následující. Použitá obfuskace je: - pole 'hexColors' obsahuje fragmenty Base64 doplněné znakem '#' - Obrácené, spojené, zbavené '#', dekódované Base64 - Dekódovaný kód spuštěný pomocí skrytého 'eval' ('ZXZhbA==') Chování je: - Cílí pouze na systémy Windows ('win32') a macOS ('darwin'). - Zakáže ověření certifikátu TLS ('NODE_TLS_REJECT_UNAUTHORIZED = "0"'). - Načte vzdálený JS z: Windows → p92nd[.]stránky[.]vývoj/cj292ke.txt macOS → p92nd[.]stránky[.]vývoj/ufjm20r.txt - Spustí načtený kód pomocí 'eval' (spuštění libovolného kódu) - Používá 'process.exit(0)' pro skryté ukončení při chybách nebo prázdné datové části Prozatím se nebudu pouštět do podrobností. Jsou podniknuty kroky.

jeden ze škodlivých souborů, které budou spuštěny lokálně, jsem nahrál do VT zde:

@itsjustcornbro barvy se rády používají, podívejte se na můj podrobný ponor: