したがって、悪意のある部分は「modal.js」ファイルにあります。TL;DRは以下のとおりです。適用される難読化は次のとおりです。 - 'hexColors'配列は、'#'で埋められたBase64フラグメントを保持します - 反転、結合、'#'の除去、Base64デコード - 非表示の 'eval' ('ZXZhbA==') を介して実行されるデコードされたコード 動作は次のとおりです。 - Windows(「win32」)とmacOS(「darwin」)のみを対象としています。 - 「TLS」証明書の検証を無効にします('NODE_TLS_REJECT_UNAUTHORIZED = "0"')。 - リモート JS を以下から取得します。 Windows → p92nd[.]pages[.]開発/cj292ke.txt macOS → p92nd[.]pages[.]開発/ufjm20r.txt - 「eval」を介して取得したコードを実行します(任意のコード実行) - エラーまたは空のペイロードのステルス終了に 'process.exit(0)' を使用します 今のところ、これ以上の詳細は触れません。アクションが実行されます。

ローカルで実行される悪意のあるファイルの1つをここにVTにアップロードしました。

@itsjustcornbro色が好きなので、ここで詳しく説明してください。