在一个 node 前端项目里发现极大概率是恶意代码的 js 文件，想看下有没有高手能够分析出来；已经问了 LLM，他们搞不定

这个是全部混淆了?

@FreeWong 是的

盗浏览器数据的

https://pastebin.com/h2tJPYyZ
pfWqzZqUqs

@dem0ns #3 你的版本很清晰了，能看出来盗了哪些数据吗，如果跑了会有什么后果吗

@ddddd0 #5 所以不确定可靠性的陌生代码库不能在 PC 本地直接跑

@ddddd0 #6 一不小心就把自己的数据送给别人了

跑一个沙箱看看

通过沙箱分析，应该是一个浏览器窃密的

@q3563 能分析出来具体窃了哪些密吗？

@ddddd0 是盗窃加密钱包的，主要涉及到这些 钱包的 chrome 扩展；
'nkbihfbeogaeaoehlefnkodbefgpgknn',
'ejbalbakoplchlghecdalmeeeajnimhm',
'fhbohimaelbohpjbbldcngcnapndodjp',
'hnfanknocfeofbddgcijnmhnfnkdnaad',
'ibnejdfjmmkpcnlpebklmnkoeoihofec',
'bfnaelmomeimhlpmgjnjophhpkkoljpa',
'aeachknmefphepccionboohckonoeemg',
'hifafgmccdpekplomjjkcfgodnhcellj',
'jblndlipeogpafnldhgmapagcccfchpi',
'acmacodkjbdgmoleebolmdjonilkdbch',
'dlcobpjiigpikoobohmabehhmhfoodbb',
'aholpfdialjgjfhomihkjbmgjidlcdno'

@ddddd0 整体的内容放在这里： https://pastebin.com/S8fnFU1U

直接打开，可能杀毒软件会直接拦截，无法打开；

提示 trojan 类型攻击。

主要是扫描各种浏览器，读取 data 文件里的密钥应该是； 还有就是扫描加密钱包。

@learncat 请教一下，如果访问了挂这种 js 的网站，用户会中招么？还是说会被浏览器的安全机制拦截？

@firemeteor 感觉不会，因为浏览器没法自动读取本地文件
这个代码得运行 node