Trend-Themen
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Der bösartige Teil befindet sich in der `modal.js`-Datei; TL;DR ist Folgendes. Die angewandte Obfuskation ist:
- Das `hexColors`-Array enthält Base64-Fragmente, die mit `#` gepolstert sind.
- Umgekehrt, zusammengefügt, von `#` befreit, Base64-dekodiert.
- Dekodierter Code wird über `eval` (versteckt) ausgeführt (`ZXZhbA==`).
Das Verhalten ist:
- Zielt nur auf Windows (`win32`) und macOS (`darwin`) ab.
- Deaktiviert die `TLS`-Zertifikatsüberprüfung (`NODE_TLS_REJECT_UNAUTHORIZED = "0"`).
- Ruft remote JS von:
Windows → p92nd[.]pages[.]dev/cj292ke.txt
macOS → p92nd[.]pages[.]dev/ufjm20r.txt
- Führt den abgerufenen Code über `eval` aus (willkürliche Codeausführung).
- Verwendet `process.exit(0)` für eine heimliche Beendigung bei Fehlern oder leerem Payload.
Ich werde vorerst nicht weiter ins Detail gehen. Maßnahmen werden ergriffen.
9. Aug., 17:44
Diese Erweiterung ist gefälscht und wahrscheinlich sehr bösartig - überprüfen Sie immer _wer_ sie veröffentlicht hat (Microsoft, wann gibt es eine Herkunft für Erweiterungen??). Wenn Sie die Erweiterung installiert haben, trennen Sie sofort die Internetverbindung, verschieben Sie alle Ihre Hot-Wallet-Vermögenswerte auf diesem Gerät in eine sichere Hardware-Wallet und eröffnen Sie ein Ticket bei uns unter SEAL 911.
eine der bösartigen Dateien, die lokal ausgeführt werden, habe ich hier zu VT hochgeladen:
@itsjustcornbro Farben möchten verwendet werden, siehe hier meinen tiefen Einblick:
26,72K
Top
Ranking
Favoriten