事情起因是群友发了个聊天记录，说某模型api反代项目藏开发者后门 
[image] 
我一看，这不撞到我专业上来了，为了打击这种投毒风。并且刚好有点时间。 
直接上号，我看看怎么个事 

首先第一步，找到该项目
看commit 
[image] 
压缩包内四个文件， 
[image] 
其中resource.txt点开，混淆过的 
[image] 
懒得看了（这种小卡拉米不配浪费我时间逆他），直接丢云沙箱扫。 
样本报告-微步在线云沙箱 
如图，发现有高危行为和几个IP、域名。 
[image] 
这个144.31.219.15 就是群友发的C2地址，但是看这个polygon-rpc.com，这他妈不是polygon链么，直接看看数据包，怎么个事。 
[image] 
发现去读了个智能合约。上链查看，确定为C2下发的合约 
Address: 0x1823A9a0…a4474bAdc | ...