哈希游戏,哈希游戏官方网站,哈希游戏APP下载研究员在分析受害者硬盘时，发现恶意扩展程序隐藏在“.cursor/extensions”目录下。该扩展表面提供以太坊智能合约的语法高亮功能，实则从远程服务器下载并执行PowerShell脚本。脚本首先检查并安装远程管理工具ScreenConnect，使攻击者获得对电脑的完全控制。随后，攻击者将进一步部署类星体RAT（可远程执行命令的木马）和PureLogs窃取程序（专门盗取浏览器凭证、身份验证Cookie及加密货币钱包的信息窃取木马）。

　　为逃避检测，Konfety精心构造其APK文件：一方面设置虚假的“bit 0”通用位标志谎称文件已加密，触发分析工具的错误密码提示以阻碍检查；另一方面将关键文件声明为BZIP压缩格式（0x000C），导致主流分析工具（如APKTool、JADX）因不支持此格式而解析失败。更危险的是，Konfety的APK内含加密的辅助DEX文件，在运行时解密加载并激活AndroidManifest中声明的隐藏服务，为动态植入更高级的恶意模块（如间谍工具）铺平道路。安全专家再次呼吁用户，避免从第三方商店安装APK。