恶意部分位于 `modal.js` 文件中；简而言之如下。应用的混淆是： - `hexColors` 数组包含用 `#` 填充的 Base64 片段 - 反转、连接、去掉 `#`，进行 Base64 解码 - 解码后的代码通过隐藏的 `eval` 执行 (`ZXZhbA==`) 行为是： - 仅针对 Windows (`win32`) 和 macOS (`darwin`) - 禁用 `TLS` 证书验证 (`NODE_TLS_REJECT_UNAUTHORIZED = "0"`)。 - 从远程获取 JS： Windows → p92nd[.]pages[.]dev/cj292ke.txt macOS → p92nd[.]pages[.]dev/ufjm20r.txt - 通过 `eval` 执行获取的代码（任意代码执行） - 使用 `process.exit(0)` 在错误或空有效载荷时进行隐蔽终止 我暂时不打算深入细节。已采取行动。

我上传到VT的一个将在本地执行的恶意文件在这里：

@itsjustcornbro 颜色喜欢被使用，看看我深入探讨的内容：