Tópicos em alta
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Portanto, a parte maliciosa está no arquivo 'modal.js'; TL; DR é o seguinte. A ofuscação aplicada é:
- O array 'hexColors' contém fragmentos Base64 preenchidos com '#'
- Invertido, unido, despojado de '#', decodificado em Base64
- Código decodificado executado via 'eval' oculto ('ZXZhbA==')
O comportamento é:
- Destina-se apenas ao Windows ('win32') e macOS ('darwin')
- Desativa a verificação do certificado 'TLS' ('NODE_TLS_REJECT_UNAUTHORIZED = "0"').
- Busca JS remoto de:
Windows → p92nd[.]páginas[.]dev/cj292ke.txt
macOS → p92nd[.]páginas[.]dev/ufjm20r.txt
- Executa o código buscado por meio de 'eval' (execução de código arbitrário)
- Usa 'process.exit(0)' para encerramento furtivo em erros ou carga vazia
Não vou entrar em mais detalhes por enquanto. Ações são tomadas.
9 de ago., 17:44
This extension is fake and probably very malicious - always check _who_ published it (Microsoft when provenance for extensions??). If you installed the extension, disconnect immediately from the internet, move all of your hot wallet assets on that device to a safe hardware wallet & open a ticket with us at SEAL 911.
um dos arquivos maliciosos que serão executados localmente eu carreguei no VT aqui:
@itsjustcornbro cores gostam de ser usadas, veja aqui o meu mergulho profundo:
30,17K
Melhores
Classificação
Favoritos