在一个 node 前端项目里发现极大概率是恶意代码的 js 文件,想看下有没有高手能够分析出来;已经问了 LLM,他们搞不定

55 天前
 ddddd0
!!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
!!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
!!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
!!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
!!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!

文件名是 next.config.js

https://pastebin.com/AfQvXczi
密码 ksM0CJPnvP
1882 次点击
所在节点    分享发现
14 条回复
FreeWong
55 天前
这个是全部混淆了?
ddddd0
55 天前
@FreeWong 是的
dem0ns
55 天前
盗浏览器数据的
dem0ns
55 天前
ddddd0
55 天前
@dem0ns #3 你的版本很清晰了,能看出来盗了哪些数据吗,如果跑了会有什么后果吗
ddddd0
55 天前
@ddddd0 #5 所以不确定可靠性的陌生代码库不能在 PC 本地直接跑
ddddd0
55 天前
@ddddd0 #6 一不小心就把自己的数据送给别人了
q3563
55 天前
跑一个沙箱看看
q3563
55 天前
通过沙箱分析,应该是一个浏览器窃密的
ddddd0
55 天前
@q3563 能分析出来具体窃了哪些密吗?
learncat
55 天前
@ddddd0 是盗窃加密钱包的,主要涉及到这些 钱包的 chrome 扩展;
'nkbihfbeogaeaoehlefnkodbefgpgknn',
'ejbalbakoplchlghecdalmeeeajnimhm',
'fhbohimaelbohpjbbldcngcnapndodjp',
'hnfanknocfeofbddgcijnmhnfnkdnaad',
'ibnejdfjmmkpcnlpebklmnkoeoihofec',
'bfnaelmomeimhlpmgjnjophhpkkoljpa',
'aeachknmefphepccionboohckonoeemg',
'hifafgmccdpekplomjjkcfgodnhcellj',
'jblndlipeogpafnldhgmapagcccfchpi',
'acmacodkjbdgmoleebolmdjonilkdbch',
'dlcobpjiigpikoobohmabehhmhfoodbb',
'aholpfdialjgjfhomihkjbmgjidlcdno'
learncat
55 天前
@ddddd0 整体的内容放在这里: https://pastebin.com/S8fnFU1U

直接打开,可能杀毒软件会直接拦截,无法打开;

提示 trojan 类型攻击。

主要是扫描各种浏览器,读取 data 文件里的密钥应该是; 还有就是扫描加密钱包。
firemeteor
52 天前
@learncat 请教一下,如果访问了挂这种 js 的网站,用户会中招么?还是说会被浏览器的安全机制拦截?
ddddd0
52 天前
@firemeteor 感觉不会,因为浏览器没法自动读取本地文件
这个代码得运行 node

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1073173

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX