Vậy phần độc hại nằm trong tệp `modal.js`; Tóm tắt là như sau. Phép mã hóa được áp dụng là: - Mảng `hexColors` chứa các đoạn Base64 được đệm bằng `#` - Đảo ngược, nối lại, loại bỏ `#`, giải mã Base64 - Mã đã giải mã được thực thi qua `eval` ẩn (`ZXZhbA==`) Hành vi là: - Nhắm mục tiêu Windows (`win32`) và macOS (`darwin`) chỉ - Vô hiệu hóa xác minh chứng chỉ `TLS` (`NODE_TLS_REJECT_UNAUTHORIZED = "0"`). - Lấy JS từ xa từ: Windows → p92nd[.]pages[.]dev/cj292ke.txt macOS → p92nd[.]pages[.]dev/ufjm20r.txt - Thực thi mã đã lấy qua `eval` (thực thi mã tùy ý) - Sử dụng `process.exit(0)` để kết thúc lén lút khi có lỗi hoặc tải trọng rỗng Tôi sẽ không đi vào chi tiết hơn vào lúc này. Các hành động đang được thực hiện.

một trong những tệp độc hại sẽ được thực thi cục bộ mà tôi đã tải lên VT ở đây:

@itsjustcornbro màu sắc thích được sử dụng, xem ở đây tôi đi sâu vào: