Yani kötü amaçlı kısım 'modal.js' dosyasındadır; TL; DR aşağıdaki gibidir. Uygulanan gizleme şu şekildedir: - 'hexColors' dizisi, '#' ile doldurulmuş Base64 parçalarını tutar - Ters çevrilmiş, birleştirilmiş, '#' harfi çıkarılmış, Base64 kodu çözülmüş - Gizli 'eval' ('ZXZhbA==') aracılığıyla yürütülen kodu çözülmüş kod Davranış şudur: - Yalnızca Windows ('win32') ve macOS'u ('darwin') hedefler - 'TLS' sertifika doğrulamasını devre dışı bırakır ('NODE_TLS_REJECT_UNAUTHORIZED = "0"'). - Uzak JS'yi şuradan getirir: Windows → p92nd[.]Sayfalar[.]Geliştirme/cj292ke.txt macOS → p92nd[.]Sayfalar[.]Geliştirme/ufjm20r.txt - Getirilen kodu 'eval' aracılığıyla yürütür (rastgele kod yürütme) - Hatalarda veya boş yükte gizli sonlandırma için 'process.exit(0)' kullanır Şimdilik daha fazla ayrıntıya girmeyeceğim. Aksiyonlar alınır.

Yerel olarak yürütülecek kötü amaçlı dosyalardan birini buradan VT'ye yükledim:

@itsjustcornbro renkler kullanılmayı sever, burada derinlemesine incelemeye bakın: