Rubriques tendance
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
la partie malveillante se trouve dans le fichier `modal.js` ; en résumé, voici ce qui suit. L'obfuscation appliquée est :
- le tableau `hexColors` contient des fragments Base64 remplis avec `#`
- inversé, joint, dépouillé de `#`, décodé en Base64
- le code décodé est exécuté via un `eval` caché (`ZXZhbA==`)
Le comportement est :
- cible uniquement Windows (`win32`) et macOS (`darwin`)
- désactive la vérification des certificats `TLS` (`NODE_TLS_REJECT_UNAUTHORIZED = "0"`).
- récupère du JS distant depuis :
Windows → p92nd[.]pages[.]dev/cj292ke.txt
macOS → p92nd[.]pages[.]dev/ufjm20r.txt
- exécute le code récupéré via `eval` (exécution de code arbitraire)
- utilise `process.exit(0)` pour une terminaison discrète en cas d'erreurs ou de charge utile vide
Je ne vais pas entrer dans plus de détails pour l'instant. Des actions sont en cours.
9 août, 17:44
Cette extension est fausse et probablement très malveillante - vérifiez toujours _qui_ l'a publiée (Microsoft, quand la provenance des extensions ??). Si vous avez installé l'extension, déconnectez-vous immédiatement d'Internet, déplacez tous vos actifs de portefeuille chaud sur cet appareil vers un portefeuille matériel sécurisé et ouvrez un ticket avec nous chez SEAL 911.
l'un des fichiers malveillants qui sera exécuté localement, je l'ai téléchargé sur VT ici :
@itsjustcornbro les couleurs aiment être utilisées, vois ici ma plongée en profondeur :
26,72K
Meilleurs
Classement
Favoris