V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ddddd0
V2EX  ›  分享发现

在一个 node 前端项目里发现极大概率是恶意代码的 js 文件,想看下有没有高手能够分析出来;已经问了 LLM,他们搞不定

  •  
  •   ddddd0 · 98 天前 · 1926 次点击
    这是一个创建于 98 天前的主题,其中的信息可能已经有所发展或是发生改变。
    !!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
    !!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
    !!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
    !!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!
    !!! 不要直接在机器上直接运行下面的代码,极有可能是恶意代码 !!!

    文件名是 next.config.js

    https://pastebin.com/AfQvXczi
    密码 ksM0CJPnvP
    14 条回复    2024-09-18 11:35:41 +08:00
    FreeWong
        1
    FreeWong  
       98 天前
    这个是全部混淆了?
    ddddd0
        2
    ddddd0  
    OP
       98 天前
    @FreeWong 是的
    dem0ns
        3
    dem0ns  
       98 天前
    盗浏览器数据的
    dem0ns
        4
    dem0ns  
       98 天前
    ddddd0
        5
    ddddd0  
    OP
       98 天前
    @dem0ns #3 你的版本很清晰了,能看出来盗了哪些数据吗,如果跑了会有什么后果吗
    ddddd0
        6
    ddddd0  
    OP
       98 天前
    @ddddd0 #5 所以不确定可靠性的陌生代码库不能在 PC 本地直接跑
    ddddd0
        7
    ddddd0  
    OP
       98 天前
    @ddddd0 #6 一不小心就把自己的数据送给别人了
    q3563
        8
    q3563  
       98 天前
    跑一个沙箱看看
    q3563
        9
    q3563  
       98 天前
    通过沙箱分析,应该是一个浏览器窃密的
    ddddd0
        10
    ddddd0  
    OP
       98 天前 via iPhone
    @q3563 能分析出来具体窃了哪些密吗?
    learncat
        11
    learncat  
       98 天前   ❤️ 1
    @ddddd0 是盗窃加密钱包的,主要涉及到这些 钱包的 chrome 扩展;
    'nkbihfbeogaeaoehlefnkodbefgpgknn',
    'ejbalbakoplchlghecdalmeeeajnimhm',
    'fhbohimaelbohpjbbldcngcnapndodjp',
    'hnfanknocfeofbddgcijnmhnfnkdnaad',
    'ibnejdfjmmkpcnlpebklmnkoeoihofec',
    'bfnaelmomeimhlpmgjnjophhpkkoljpa',
    'aeachknmefphepccionboohckonoeemg',
    'hifafgmccdpekplomjjkcfgodnhcellj',
    'jblndlipeogpafnldhgmapagcccfchpi',
    'acmacodkjbdgmoleebolmdjonilkdbch',
    'dlcobpjiigpikoobohmabehhmhfoodbb',
    'aholpfdialjgjfhomihkjbmgjidlcdno'
    learncat
        12
    learncat  
       98 天前   ❤️ 1
    @ddddd0 整体的内容放在这里: https://pastebin.com/S8fnFU1U

    直接打开,可能杀毒软件会直接拦截,无法打开;

    提示 trojan 类型攻击。

    主要是扫描各种浏览器,读取 data 文件里的密钥应该是; 还有就是扫描加密钱包。
    firemeteor
        13
    firemeteor  
       96 天前
    @learncat 请教一下,如果访问了挂这种 js 的网站,用户会中招么?还是说会被浏览器的安全机制拦截?
    ddddd0
        14
    ddddd0  
    OP
       95 天前
    @firemeteor 感觉不会,因为浏览器没法自动读取本地文件
    这个代码得运行 node
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1039 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 18:15 · PVG 02:15 · LAX 10:15 · JFK 13:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.