Tópicos populares
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
então a parte maliciosa está no arquivo `modal.js`; Resumindo, é o seguinte. A ofuscação aplicada é:
- O array `hexColors` contém fragmentos em Base64 preenchidos com `#`
- Revertido, unido, removido o `#`, decodificado em Base64
- Código decodificado executado via `eval` (`ZXZhbA==`)
O comportamento é:
- Alvo Windows (`win32`) e macOS (`darwin`) apenas
- Desativa a verificação de certificado `TLS` (`NODE_TLS_REJECT_UNAUTHORIZED = "0"`).
- Busca JS remoto de:
Windows → p92nd[.]pages[.]dev/cj292ke.txt
macOS → p92nd[.]pages[.]dev/ufjm20r.txt
- Executa o código buscado via `eval` (execução de código arbitrário)
- Usa `process.exit(0)` para término furtivo em erros ou payload vazio
Não vou entrar em mais detalhes por agora. Ações estão sendo tomadas.
9/08, 17:44
Esta extensão é falsa e provavelmente muito maliciosa - verifique sempre _quem_ a publicou (Microsoft quando a proveniência das extensões??). Se instalou a extensão, desconecte-se imediatamente da internet, mova todos os seus ativos da carteira quente nesse dispositivo para uma carteira de hardware segura e abra um ticket connosco na SEAL 911.
um dos ficheiros maliciosos que será executado localmente eu carreguei para o VT aqui:
@itsjustcornbro as cores gostam de ser usadas, veja aqui a minha análise profunda:
29,82K
Top
Classificação
Favoritos