热门话题
#
Bonk 生态迷因币展现强韧势头
#
有消息称 Pump.fun 计划 40 亿估值发币,引发市场猜测
#
Solana 新代币发射平台 Boop.Fun 风头正劲
恶意部分位于 `modal.js` 文件中;简而言之如下。应用的混淆是:
- `hexColors` 数组包含用 `#` 填充的 Base64 片段
- 反转、连接、去掉 `#`,进行 Base64 解码
- 解码后的代码通过隐藏的 `eval` 执行 (`ZXZhbA==`)
行为是:
- 仅针对 Windows (`win32`) 和 macOS (`darwin`)
- 禁用 `TLS` 证书验证 (`NODE_TLS_REJECT_UNAUTHORIZED = "0"`)。
- 从远程获取 JS:
Windows → p92nd[.]pages[.]dev/cj292ke.txt
macOS → p92nd[.]pages[.]dev/ufjm20r.txt
- 通过 `eval` 执行获取的代码(任意代码执行)
- 使用 `process.exit(0)` 在错误或空有效载荷时进行隐蔽终止
我暂时不打算深入细节。已采取行动。
2025年8月9日
This extension is fake and probably very malicious - always check _who_ published it (Microsoft when provenance for extensions??). If you installed the extension, disconnect immediately from the internet, move all of your hot wallet assets on that device to a safe hardware wallet & open a ticket with us at SEAL 911.
我上传到VT的一个将在本地执行的恶意文件在这里:
@itsjustcornbro 颜色喜欢被使用,看看我深入探讨的内容:
30.99K
热门
排行
收藏