在一个 node 前端项目里发现极大概率是恶意代码的 js 文件,想看下有没有高手能够分析出来;已经问了 LLM,他们搞不定
ddddd0 · 55 天前 · 1883 次点击这是一个创建于 55 天前的主题,其中的信息可能已经有所发展或是发生改变。
!!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
!!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
!!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
!!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
!!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
文件名是 next.config.js
https://pastebin.com/AfQvXczi
密码 ksM0CJPnvP
!!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
!!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
!!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
!!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
文件名是 next.config.js
https://pastebin.com/AfQvXczi
密码 ksM0CJPnvP
14 条回复 • 2024-09-18 11:35:41 +08:00
 |
1
FreeWong 55 天前
这个是全部混淆了?
|
 |
3
dem0ns 55 天前
盗浏览器数据的
|
|
4
dem0ns 55 天前
https://pastebin.com/h2tJPYyZ
pfWqzZqUqs |
 |
8
q3563 55 天前
跑一个沙箱看看
|
|
9
q3563 55 天前
通过沙箱分析,应该是一个浏览器窃密的
|
 |
11
learncat 55 天前  1
@ddddd0 是盗窃加密钱包的,主要涉及到这些 钱包的 chrome 扩展;
'nkbihfbeogaeaoehlefnkodbefgpgknn', 'ejbalbakoplchlghecdalmeeeajnimhm', 'fhbohimaelbohpjbbldcngcnapndodjp', 'hnfanknocfeofbddgcijnmhnfnkdnaad', 'ibnejdfjmmkpcnlpebklmnkoeoihofec', 'bfnaelmomeimhlpmgjnjophhpkkoljpa', 'aeachknmefphepccionboohckonoeemg', 'hifafgmccdpekplomjjkcfgodnhcellj', 'jblndlipeogpafnldhgmapagcccfchpi', 'acmacodkjbdgmoleebolmdjonilkdbch', 'dlcobpjiigpikoobohmabehhmhfoodbb', 'aholpfdialjgjfhomihkjbmgjidlcdno' |
|
12
learncat 55 天前 1
@ddddd0 整体的内容放在这里: https://pastebin.com/S8fnFU1U
直接打开,可能杀毒软件会直接拦截,无法打开; 提示 trojan 类型攻击。 主要是扫描各种浏览器,读取 data 文件里的密钥应该是; 还有就是扫描加密钱包。 |
 |
13
firemeteor 52 天前
@learncat 请教一下,如果访问了挂这种 js 的网站,用户会中招么?还是说会被浏览器的安全机制拦截?
|
 |
14
ddddd0 OP @firemeteor 感觉不会,因为浏览器没法自动读取本地文件
这个代码得运行 node |
Select Language