在一个 node 前端项目里发现极大概率是恶意代码的 js 文件，想看下有没有高手能够分析出来；已经问了 LLM，他们搞不定

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 396 天前的主题，其中的信息可能已经有所发展或是发生改变。

!!! 不要直接在机器上直接运行下面的代码，极有可能是恶意代码 !!!
!!! 不要直接在机器上直接运行下面的代码，极有可能是恶意代码 !!!
!!! 不要直接在机器上直接运行下面的代码，极有可能是恶意代码 !!!
!!! 不要直接在机器上直接运行下面的代码，极有可能是恶意代码 !!!
!!! 不要直接在机器上直接运行下面的代码，极有可能是恶意代码 !!!

文件名是 next.config.js

https://pastebin.com/AfQvXczi
密码 ksM0CJPnvP

恶意代码

js文件

node项目

14 条回复 2024-09-18 11:35:41 +08:00

FreeWong

2024-09-15 11:19:26 +08:00

这个是全部混淆了?

ddddd0

2024-09-15 11:27:52 +08:00

@FreeWong 是的

dem0ns

2024-09-15 11:37:19 +08:00

盗浏览器数据的

dem0ns

2024-09-15 11:38:07 +08:00

https://pastebin.com/h2tJPYyZ
pfWqzZqUqs

ddddd0

2024-09-15 11:41:47 +08:00

@dem0ns #3 你的版本很清晰了，能看出来盗了哪些数据吗，如果跑了会有什么后果吗

ddddd0

2024-09-15 11:43:12 +08:00

@ddddd0 #5 所以不确定可靠性的陌生代码库不能在 PC 本地直接跑

ddddd0 &bsp;

2024-09-15 11:44:13 +08:00

@ddddd0 #6 一不小心就把自己的数据送给别人了

q3563

2024-09-15 11:48:17 +08:00

跑一个沙箱看看

q3563

2024-09-15 11:59:48 +08:00

通过沙箱分析，应该是一个浏览器窃密的

ddddd0

2024-09-15 12:52:27 +08:00 via iPhone

@q3563 能分析出来具体窃了哪些密吗？

learncat

2024-09-15 22:04:18 +08:00

@ddddd0 是盗窃加密钱包的，主要涉及到这些钱包的 chrome 扩展；
'nkbihfbeogaeaoehlefnkodbefgpgknn',
'ejbalbakoplchlghecdalmeeeajnimhm',
'fhbohimaelbohpjbbldcngcnapndodjp',
'hnfanknocfeofbddgcijnmhnfnkdnaad',
'ibnejdfjmmkpcnlpebklmnkoeoihofec',
'bfnaelmomeimhlpmgjnjophhpkkoljpa',
'aeachknmefphepccionboohckonoeemg',
'hifafgmccdpekplomjjkcfgodnhcellj',
'jblndlipeogpafnldhgmapagcccfchpi',
'acmacodkjbdgmoleebolmdjonilkdbch',
'dlcobpjiigpikoobohmabehhmhfoodbb',
'aholpfdialjgjfhomihkjbmgjidlcdno'

learncat

2024-09-15 22:07:08 +08:00

@ddddd0 整体的内容放在这里： https://pastebin.com/S8fnFU1U

直接打开，可能杀毒软件会直接拦截，无法打开；

提示 trojan 类型攻击。

主要是扫描各种浏览器，读取 data 文件里的密钥应该是；还有就是扫描加密钱包。

firemeteor

2024-09-18 01:16:36 +08:00

@learncat 请教一下，如果访问了挂这种 js 的网站，用户会中招么？还是说会被浏览器的安全机制拦截？

ddddd0

2024-09-18 11:35:41 +08:00

@firemeteor 感觉不会，因为浏览器没法自动读取本地文件
这个代码得运行 node