某塔最新版新增上报后门

js文件路径：

/panel/BTPanel/static/laydate/laydate.js

根据文件时间戳，可知是10月9日更新的。

这个文件本身是layer的日期显示组件，

但是某塔在最后加入了一段eval加密的js。

这种js很好解密，以下是解密后的js：

（完整代码粘贴不出来，会被拦截，只能截图部分。）

可以看出是创建了个WebRTC连接，

最终是拿到了用户自己的IP和端口（id和pid变量）

并组合后进行了简单加密，赋值给cid，

POST到接口/plugin?action=get_soft_list_thread

那么get_soft_list_thread是在干什么呢，

到py代码，是异步调用/script/flush_soft.py，

然后这个文件里面是调用加密模块里面的一个方法PluginLoader.get_soft_list(cid)

下面反编译看看这个方法是具体干什么的

某塔搞了个很有迷惑性的方法名，初看还以为是获取软件列表的，实际根本不是。方法内部只是把cid发送到接口https://cpi.bt.cn/get_soft_list，并未对返回值进行处理，可确定不是获取软件列表的。

感谢您的来访，获取更多精彩文章请收藏本站。