la partie malveillante se trouve dans le fichier `modal.js` ; en résumé, voici ce qui suit. L'obfuscation appliquée est : - le tableau `hexColors` contient des fragments Base64 remplis avec `#` - inversé, joint, dépouillé de `#`, décodé en Base64 - le code décodé est exécuté via un `eval` caché (`ZXZhbA==`) Le comportement est : - cible uniquement Windows (`win32`) et macOS (`darwin`) - désactive la vérification des certificats `TLS` (`NODE_TLS_REJECT_UNAUTHORIZED = "0"`). - récupère du JS distant depuis : Windows → p92nd[.]pages[.]dev/cj292ke.txt macOS → p92nd[.]pages[.]dev/ufjm20r.txt - exécute le code récupéré via `eval` (exécution de code arbitraire) - utilise `process.exit(0)` pour une terminaison discrète en cas d'erreurs ou de charge utile vide Je ne vais pas entrer dans plus de détails pour l'instant. Des actions sont en cours.

l'un des fichiers malveillants qui sera exécuté localement, je l'ai téléchargé sur VT ici :

@itsjustcornbro les couleurs aiment être utilisées, vois ici ma plongée en profondeur :