Populární témata
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Škodlivá část je tedy v souboru 'modal.js'; TL; DR je následující. Použitá obfuskace je:
- pole 'hexColors' obsahuje fragmenty Base64 doplněné znakem '#'
- Obrácené, spojené, zbavené '#', dekódované Base64
- Dekódovaný kód spuštěný pomocí skrytého 'eval' ('ZXZhbA==')
Chování je:
- Cílí pouze na systémy Windows ('win32') a macOS ('darwin').
- Zakáže ověření certifikátu TLS ('NODE_TLS_REJECT_UNAUTHORIZED = "0"').
- Načte vzdálený JS z:
Windows → p92nd[.]stránky[.]vývoj/cj292ke.txt
macOS → p92nd[.]stránky[.]vývoj/ufjm20r.txt
- Spustí načtený kód pomocí 'eval' (spuštění libovolného kódu)
- Používá 'process.exit(0)' pro skryté ukončení při chybách nebo prázdné datové části
Prozatím se nebudu pouštět do podrobností. Jsou podniknuty kroky.
9. 8. 17:44
Toto rozšíření je falešné a pravděpodobně velmi škodlivé - vždy zkontrolujte _kdo_ jej publikoval (Microsoft když původ rozšíření??). Pokud jste nainstalovali rozšíření, okamžitě se odpojte od internetu, přesuňte všechna svá aktiva z horké peněženky na tomto zařízení do bezpečné hardwarové peněženky a otevřete u nás lístek na adrese SEAL 911.
jeden ze škodlivých souborů, které budou spuštěny lokálně, jsem nahrál do VT zde:
@itsjustcornbro barvy se rády používají, podívejte se na můj podrobný ponor:
26,74K
Top
Hodnocení
Oblíbené