熱門話題
#
Bonk 生態迷因幣展現強韌勢頭
#
有消息稱 Pump.fun 計劃 40 億估值發幣,引發市場猜測
#
Solana 新代幣發射平臺 Boop.Fun 風頭正勁
所以惡意部分在 `modal.js` 文件中;簡而言之如下。應用的混淆是:
- `hexColors` 陣列包含用 `#` 填充的 Base64 片段
- 反轉、連接、去除 `#`,然後進行 Base64 解碼
- 解碼的代碼通過隱藏的 `eval` 執行 (`ZXZhbA==`)
行為是:
- 僅針對 Windows (`win32`) 和 macOS (`darwin`)
- 禁用 `TLS` 證書驗證 (`NODE_TLS_REJECT_UNAUTHORIZED = "0"`)。
- 從遠程獲取 JS:
Windows → p92nd[.]pages[.]dev/cj292ke.txt
macOS → p92nd[.]pages[.]dev/ufjm20r.txt
- 通過 `eval` 執行獲取的代碼(任意代碼執行)
- 使用 `process.exit(0)` 在錯誤或空有效載荷時進行隱蔽終止
我暫時不會深入更多細節。已採取行動。
2025年8月9日
This extension is fake and probably very malicious - always check _who_ published it (Microsoft when provenance for extensions??). If you installed the extension, disconnect immediately from the internet, move all of your hot wallet assets on that device to a safe hardware wallet & open a ticket with us at SEAL 911.
我上傳到 VT 的其中一個將在本地執行的惡意文件在這裡:
@itsjustcornbro 顏色喜歡被使用,看看我深入探討的內容:
31K
熱門
排行
收藏