Populære emner
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Så den ondsinnede delen er i 'modal.js'-filen; TL; DR er følgende. Obfuskeringen som brukes er:
- 'hexColors'-matrisen inneholder Base64-fragmenter polstret med '#'
- Reversert, sammenføyd, strippet for '#', Base64-dekodet
- Dekodet kode utført via skjult 'eval' ('ZXZhbA==')
Oppførselen er:
- Kun rettet mot Windows ('win32') og macOS ('darwin')
- Deaktiverer bekreftelse av TLS-sertifikat («NODE_TLS_REJECT_UNAUTHORIZED = «0»').
- Henter ekstern JS fra:
Windows → p92nd[.]sider[.]dev/cj292ke.txt
macOS → p92nd[.]sider[.]dev/ufjm20r.txt
- Kjører hentet kode via 'eval' (utførelse av vilkårlig kode)
- Bruker 'process.exit(0)' for stealth-avslutning ved feil eller tom nyttelast
Jeg vil ikke gå inn på flere detaljer foreløpig. Tiltak iverksettes.
9. aug., 17:44
Denne utvidelsen er falsk og sannsynligvis veldig ondsinnet - sjekk alltid _hvem_ publiserte den (Microsoft når opprinnelse for utvidelser??). Hvis du installerte utvidelsen, kobler du umiddelbart fra internett, flytter alle dine varme lommebokressurser på den enheten til en sikker maskinvarelommebok og åpner en billett hos oss på SEAL 911.
en av de ondsinnede filene som skal kjøres lokalt lastet jeg opp til VT her:
@itsjustcornbro farger liker å bli brukt, se her meg dypdykk:
26,74K
Topp
Rangering
Favoritter