TL; DR
አንድ ነጠላ npm አታሚ፣ deadcode09284814በሕጋዊው ላይ የፊደል አጻጻፍ ዘመቻ አካሂዷል axios ና chalk-template ፓኬጆች ከግንቦት አጋማሽ 2026 ጀምሮ።
ዘመቻው የተጀመረው እንደ መደበኛ የምስክር ወረቀት እና የኪስ ቦርሳ መስረቅ ሲሆን፣ መረጃን ወደ አንድ በማጣራት ነው የሰርቪዮ HTTPS ዋሻ.
On 2026-05-17ጋር axois-utils:1.0.9ኦፕሬተሩ የክፍያ ጭነቱን ሙሉ በሙሉ ቀይሮታል፡ ተመሳሳይ የሶስትዮሽ የመጫኛ መንጠቆ ስካፎልድ፣ ተመሳሳይ አሳታሚ፣ ተመሳሳይ የጥቅል ስም።
ነገር ግን የመጫኛ ስክሪፕት አሁን የተሻጋሪ መድረክ DDoS botnet ሪኮርት ነው።
የደመወዝ ሸክሙ የሚያወራው ከ localhost.run የተበከሉ አካባቢዎችን ወደ DDoS አቅም ያለው ቦትኔት አካል በመቀየር እና የጎርፍ ትዕዛዞችን ይቀበላል።
ኦፕሬተሩ እንኳን ላከ C2 አገልጋይ ሁለትዮሽ በታርቦል ውስጥ፣ ከምስክርነት ስርቆት ወደ ንቁ የቦትኔት መሠረተ ልማት ግልጽ የሆነ እድገት ያሳያል።
ሁለት ፓኬጆች፣ አራት ስሪቶች አሁንም በመዝገቡ ላይ ንቁ ናቸው፣ እና አንድ ኦፕሬተር አሁን ሁለቱንም ሞጁሎች በትይዩ እያሄደ ነው።
ከባድነት፡ ከፍተኛ።
የጋራ ስካፎልድ
የሁለቱም ፓኬጆች የታተመ እያንዳንዱ እትም ተመሳሳይ ሶስት የህይወት ዑደትን ያስታውቃል hooks in package.json:
"scripts": { "preinstall": "node <payload>.js", "install": "node <payload>.js", "postinstall": "node <payload>.js" } በሦስቱም ስር ያሉትን የክፍያ ጭነቶች መዘርዘር hooks ከመጠን በላይ ነው - ድህረ-ጭነት ብቻውን በነባሪነት ይሰራል የሌሊት ጭነትምርጫው አስፈላጊ ነው፡ npm install –ignore-scripts ስክሪፕቶችን ይዘላል፣ ነገር ግን በርካታ የተለመዱ የስራ ፍሰቶች (CI መሸጎጫ ያንን ዳግም የሚኬድ የህይወት ዑደት ያድሳል hooks በምርጫ ወይም ኦዲት ብቻ የሚያደርጉ ገንቢዎች ድህረ-ጭነት) ለአጥቂው በጣም አስተማማኝ ውርርድ ለማድረግ ሶስት እጥፍ ድርብ መግለጫ ያድርጉ።
ኖራ-ቴምፓልቴ ሁለተኛ ዘዴን ይጨምራል፡- ያስታውቃል axois-utils:^1.0.7 እንደ የሩጫ ጊዜ ጥገኝነትየተሳሳቱትን የፊደል አጻጻፍ በመጫን ላይ ኖራ-አብነት ስለዚህ የወንድም/እህት የፊደል አጻጻፍ ስህተትንም ይጎትታል፣ እና ሁለቱም የክፍያ ጭነቶች ይከናወናሉ። ሁለቱ ፓኬጆች የተቀናጁ ጥንድ ናቸው፣ ገለልተኛ ዝርዝሮች አይደሉም።
ደረጃ ሀ — የምስክር ወረቀት / የኪስ ቦርሳ መስረቅ (2026-05-15 → አሁን)
ደረጃ ሀ የመጀመሪያው የክፍያ ጭነት ነው። ጫኚው አጭር ነው postinstall.js በሰርቪዮ HTTPS የኋላ-ዋሻ ላይ የሚያመለክት፡
// chalk-tempalte/postinstall.js:11-13 const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com"; const C2_PORT = 443; const C2_PATH = '/collect'; የሰርቪዮ ንዑስ ጎራ የመድረሻውን አይፒ (የመድረሻውን አይፒ) ይገልፃል (80.200.28.28) በቀጥታ በአስተናጋጅ ስም - ለዚያ አገልግሎት የሚታወቅ ኮንቬንሽን። ኦፕሬተሩ ተንኮለኛ የጎራ ማገጃ ዝርዝሮችን ለማምለጥ በስሪቶቹ መካከል የዘፈቀደ ንዑስ ጎራ ቅድመ ቅጥያውን ያሽከረክራል፣ ነገር ግን መሰረታዊው አይፒ በጭራሽ አይንቀሳቀስም። (ኖራ-ቴምፓልቴ:1.0.14 ጥቅም ላይ የዋለው 8a3e818ea8f11186-80-200-28-28…; 1.0.16 / 1.0.19 / 1.0.20 አጠቃቀም f04a273bd84c0622-….)
postinstall.js እጅ ለእጅ ተለቋል ፋንተም.ጄኤስ, 7,667 መስመር ያለው የተጠቀለለ "ሰብሳቢ" ሞጁል. ፋንተም.ጄኤስ አስተናጋጁን ለሚከተሉት ይመራል፦
የግል የኤስኤስኤች ቁልፎች (~/.ssh/*) |
.npmrc ይዘቶች እና ማንኛውም npm_* የenv ቶከኖች |
| የAWS፣ የGCP እና የAzure የምስክርነት ፋይሎች |
የጂትሆብ የግል-መዳረሻ-ቶከን ሬጅክስ (ghp_*, gho_*, ghu_*, ghs_*) |
| ለቢትኮይን፣ ኤክሶድ፣ ኤሌክትሮም፣ ሞኔሮ፣ ላይትኮይን፣ ዶጌኮይን፣ ዛካሽ፣ ዳሽ የክሪፕቶ-ቦርሳ ቅርሶች |
ተደጋጋሚ ጽሑፍ .env* በእግር መሄድ ~/projects, ~/dev, ~/code, ~/workspaceእና የ cwd ጭነት |
የሼል ታሪኮች እና ሙሉ ታሪኮች process.env |
ጥቅሉ ወደ ሰርቪዮ ዋሻው በ /ሰብስብምንም አይነት ድንቁርና፣ ፀረ-ቪኤም አመክንዮ የለም፣ ምንም አይነት ስታዲንግ የለም - የኦፕሬተሩ ውርርድ በድምጽ እና ፍጥነት ላይ ነው።
ደረጃ B — PhantomBot DDoS recruit (2026-05-17፣ axois-utils:1.0.9 ብቻ)
ደረጃ B phantom.js + postinstall.js ን በ distrube.js በሚባል ነጠላ ፋይል ይተካዋል (የትይዩው ኦፕሬተሩ ነው)። በpackage.json ውስጥ ያለው ባለ ሶስት መንጠቆ ስካፎልድ አልተለወጠም፤ ጥቅሉ ተመሳሳይ ስም፣ ስኮፕ እና የቨርዥን-ባምፕ ንድፍ ይይዛል። ከውጭ ሲታይ፣ axois-utils:1.0.9 ከ1.0.6 ጋር ትንሽ ተከታይ ይመስላል። በውስጡ፣ የተለየ የማልዌር ቤተሰብ ነው።
distrube.js የኦፕሬተሩን የራሱን የምርት ስም የሚሰይም የውቅር ብሎክ ይከፍታል፡
// axois-utils-1.0.9/distrube.js:11-15 |
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally) |
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel |
const C2_PORT = 443; // HTTPS port - tunnel handles SSL |
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`; |
አስተያየቶቹ ኪቱን ለሚያስኬደው የወደፊት ኦፕሬተር የተላኩ ናቸው (“localhost.run HTTPS URL” የሚለውን ይጠቀሙ)። ይህ፣ ከቦት ደንበኛው ቀጥሎ የሚደርሰው ነገር፣ ይህ የተጎጂዎች ክፍያ ብቻ እንዳልሆነ - ኪቱ መሆኑን ያሳያል።
ፍሰቱ፡
- ጠንካራነት መጀመሪያ ይሰራል። ስክሪፕቱ እራሱን በሶስት የተለያዩ መንገዶች በእያንዳንዱ ስርዓተ ክወና (መዝገብ) ይጭናል ሩጫ + የመነሻ አቃፊ + schtasks በዊንዶውስ ላይ; ክሮንታብ + phantom-bot.service የስርዓት ክፍል + .bashrc/.zshrc አክል + /etc/rc.local በሊኑክስ ላይ፤ LaunchAgent com.phantom.bot.plist በmacOS ላይ)። የቋሚነት አገልግሎት ስም እና የLaunchAgent መለያ ሁለቱም ናቸው። ፋንተም-ቦት / com.phantom.botየዘመቻው ስምም የመጣው እዚህ ላይ ነው።
- የስርዓት መረጃ exfil አንድ ጊዜ ይሰራል — የአንድ ጊዜ የጣት አሻራ ወደ b94b6bcfa27554.lhr.life:443/collect የአስተናጋጅ ስም፣ መድረክ፣ ቅስት፣ የተጠቃሚ ስም፣ ሲፒዩ/ራም፣ የአውታረ መረብ በይነገጾች፣ process.env፣ cwd፣ homedir፣ የኖድ ስሪት እና የህዝብ አይፒ ይዞ ይመጣል። ይህ ከደረጃ ሀ በጣም ያነሰ ኃይለኛ ነው፡ SSH የለም፣ ቦርሳዎች የሉም፣ .env ድግግሞሽ የለም። የbot ስራ መመዝገብ እንጂ መስረቅ አይደለም።
- የልብ ምት ዑደት በየ30 ሰከንድ የHTTPS POST ወደ b94b6bcfa27554.lhr.life:443/ ይከፍታል። የተጠቃሚ-ወኪሉ PhantomBot/1.0 ነው። የTLS ማረጋገጫ በግልጽ ተሰናክሏል (rejectUnauthorized: false)። የC2 ምላሽ እንደ JSON ተተንትኖ የ{type, target, port, duration, threads, method} ቅጽ ተልኳል።
- የጎርፍ ጦር መሳሪያ ከስድስት ትዕዛዞች ጋር የተገናኘ ነው፡
| የትዕዛዝ አይነት | ሞዱል | ማስታወሻዎች |
|---|---|---|
| የፒንግ | የህያውነት ምላሽ | ቦት ራሱን ይለያል |
| http | የኤችቲቲፒ ጎርፍ | የንብርብር-7 ጥያቄ ጎርፍ |
| https | የኤችቲቲፒኤስ ጎርፍ | ልክ እንደ http፣ TLS-wrapped |
| tcp | የቲሲፒ ጎርፍ | 65 ኪባ የዘፈቀደ የክፍያ ጭነት አይፈለጌ መልእክት |
| እ.አ.አ. | የUDP ጎርፍ | 65,507-ባይት የUDP ፓኬቶች |
| ፈጣን | የኤችቲቲፒ/2 ፈጣን ዳግም ማስጀመር DoS | የ2023 CVE-2023-44487 ቴክኒክ |
አምስቱ የጎርፍ ሞጁሎች በሙሉ አንድን ይወስዳሉ ዒላማ, ወደብ, ርዝመት, እና ተከታታዮች ክርክር — ቦት ለኪራይ የሚውል አጠቃላይ የጎርፍ መጥለቅለቅ ነው፣ ለማንኛውም ተጎጂ የታለመ አይደለም። የኦፕሬተሩ የተጎጂዎች ዝርዝር በጥቅሉ ውስጥ ሳይሆን በC2 ላይ ይኖራል።
እዚህ ምን አዲስ ነገር አለ — የተላከው C2 ሁለትዮሽ
ደረጃ A የታወቀ ቅርፅ ነው፡ የማረጋገጫ ስርቆት፣ የመጫኛ መንጠቆ፣ የሻጭ-ቱነል C2። ደረጃ B ደግሞ የታወቀ ቅርፅ - የዲዶኤስ ቦትኔት ለዓመታት የተንኮል አዘል የ npm ፓኬጆች አካል ሆኖ ቆይቷል። ያልተለመደው ነገር ኦፕሬተሩ መላኩ ነው የአገልጋይ ጎን በnpm ታርቦል ውስጥ ያለው ኪት፦
- c2 — የተጠናቀረ የ4-ሜጋባይት Go ELF binary
- c2.go — ለዚያ ሁለትዮሽ የ426-መስመር ጎ ምንጭ
ሁለቱም ፋይሎች በማንኛውም የመጫኛ መንጠቆ አይጠሩም። የተጎጂዎች የክፍያ ጭነት አካል አይደሉም። ልክ እንደ የሰነድ ፋይል በጥቅሉ ማውጫ ውስጥ ተቀምጠዋል። በጣም አሳማኝ የሆነው ንባብ ኦፕሬተሩ የፋይሉን ዝርዝር ሳያስቀምጡ የልማት ዛፉን ወደ npm መግፋቱ ነው - እውነተኛ የOpSec ሉፕ - እና የተላከው ሙሉው ባለ ሁለት ጎን ኪት ነው፡ ደንበኛው የተጎጂው ይሰራል፣ እና ኦፕሬተሩ ይሰራል።
ይህ የታሪኩ ክፍል "ተርንኪ ቦትኔት ኪት" ፍሬም ማጽደቅን የሚያረጋግጥ ነው። የወረደ ማንኛውም ሰው axois-utils:1.0.9 ከማውረድ በፊት የተጎጂ ናሙና ብቻ ሳይሆን የሚሰራ የC2 አገልጋይ አላቸው።
ማዕበሉ፣ በአንድ ዓረፍተ ነገር
ተመሳሳይ አሳታሚ፣ ተመሳሳይ የጥቅል ስሞች፣ ተመሳሳይ የሶስት መንጠቆ ስካፎልድ፣ ተመሳሳይ “የፋንተም” የምርት ስም - ግን የክፍያው ጫና በአንድ ሌሊት የገቢ መፍጠር ሞዴልን ቀይሯልከ"የመከር ምስጢሮች እንደገና መሸጥ እችላለሁ" እስከ "የጎርፍ አቅም መከራየት እችላለሁ"። ተከላካዮች ሊመለከቷቸው የሚገቡ የመጫኛ ጊዜ TTPዎች በሁለቱም ደረጃዎች ማለት ይቻላል ተመሳሳይ ናቸው፤ በፊርማ ላይ የተመሰረቱ መከላከያዎች በክፍል ሀ የኪስ ቦርሳ መንገድ ላይ ወይም ወደ ፋንተም.ጄኤስየ7,667 መስመር ሰብሳቢው ደረጃ Bን ሙሉ በሙሉ ቢያጣው ነበር።
| ቀን (UTC) | ድርጊት |
|---|---|
| 2026-05-15 | የመጀመሪያው ህትመት፡ axois-utils:1.0.4 (የላን የሙከራ ግንባታ፣ የልማት ሪግ በ 192.168.129.19) |
| 2026-05-15 | axois-utils:1.0.6 የታተመ — ምዕራፍ A C2 ወደ ተቀይሯል 80.200.28.28 በሰርቪዮ ዋሻ በኩል፤ የምንጭ አስተያየት // Change to '80.200.28.28' for public የዴቭ→ፕሮድ ስዋፕን ያረጋግጣል |
| 2026-05-16 | chalk-tempalte:1.0.14 ና 1.0.16 የታተመ — በሰንሰለት የተዘጋ ጫኝ ማወጅ axois-utils:^1.0.7 እንደ የሩጫ ጊዜ ጥገኝነት፤ የሰርቪዮ ንዑስ ጎራ ተሽከረከረ |
| 2026-05-16 | የደረጃ ሀ ዘመቻ በተለመደው የnpm ቅኝት ወቅት ተገኝቷል፤ የተረጋገጡ እና ተንኮል አዘል ውሳኔዎች ተግባራዊ ሆነዋል |
| 2026-05-17 | axois-utils:1.0.9 የታተመ — የክፍያ ጭነት ፒቮት፡ PhantomBot DDoS recruit via localhost.run tunnel; operator-side c2 ሁለትዮሽ እና c2.go ምንጭ በታርቦል ውስጥ ተልኳል |
| 2026-05-17 | chalk-tempalte:1.0.19 ና 1.0.20 የታተመ — አሁንም ደረጃ ሀ (ስርቆት)፤ ኦፕሬተር አሁን ሁለቱንም ሞጁሎች በትይዩ እያሄደ ነው |
| 2026-05-17 | በመደበኛ ቅኝት ወቅት የደረጃ B ግኝት፤ በሁሉም ላይ ፍርዶች ተፈጻሚ ይሆናሉ 2026-05-17 ስሪቶች |
| (በመቀጠል ላይ) | የማውረጃ ሪፖርቶች በመጠባበቅ ላይ ናቸው፤ አራቱም የታተሙ ፓኬጆች በሚጽፉበት ጊዜ በመዝገብ ቤቱ ላይ ይገኛሉ። |
የመደራደር አመላካቾች
ጥቅሎች
| ምህዳር | ጥቅል | ስሪቶች |
|---|---|---|
| ጥዋት | axois-utils (የአክሲዮኖች ታይፖስኩት) | 1.0.4, 1.0.6, 1.0.9 |
| ጥዋት | chalk-tempalte (የኖራ-አብነት ታይፖስኩት) | 1.0.14, 1.0.16, 1.0.19, 1.0.20 |
የደራሲ ማንነት
| መስክ | ዋጋ |
|---|---|
| የኤንፒኤም አሳታሚ | deadcode09284814 |
| የአሳታሚ ኢሜይል | phantomdeadcode@tutamail.com |
| SCM ማረጋገጫ | አንድም |
ትዕዛዝ-እና-ቁጥጥር
| ደረጃ | የመጨረሻ ነጥብ | ትራንስፖርት |
|---|---|---|
| A | f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect | የሰርቪዮ HTTPS ዋሻ |
| A | 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect | የሰርቪዮ HTTPS ዋሻ (የቀድሞው ስሪት) |
| A | 80.200.28.28:443/collect | ከስር ያለው የ VPS የመጨረሻ ነጥብ |
| B | b94b6bcfa27554.lhr.life:443/ | localhost.run HTTPS reverse-tunnel |
የፋይል ማጠቃለያዎች (SHA-256)
| ፋይል | SHA-256 | ማስታወሻዎች |
|---|---|---|
c2 (Go ELF፣ 4 ሜባ) | 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 | የኦፕሬተር-ጎን C2 አገልጋይ፣ በውስጥ ተልኳል axois-utils:1.0.9 |
c2.go (426 መስመሮች) | 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 | ለC2 ባይነሪ ምንጭ ይሂዱ |
distrube.js | 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 | የደረጃ B ቦት ደንበኛ |
phantom.js (chalk-tempalte:1.0.19) | 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 | የደረጃ ሀ የምስክር ወረቀት/የኪስ ቦርሳ ሰብሳቢ |
phantom.js (chalk-tempalte:1.0.20) | d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 | የደረጃ ሀ ሰብሳቢ (1.0.20 ተለዋጭ) |
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) | ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 | የደረጃ ኤ ሎደር፣ በሁለቱም ስሪቶች ላይ ባይት-ተመሳሳይ |
ባለቤትነት እና ተነሳሽነት
ይህንን ዘመቻ እንደሚከተለው እንከታተላለን ፋንተምቦትየኦፕሬተሩን የራሱን የምርት ስም ከ የተጠቃሚ ወኪል፡ PhantomBot/1.0 የልብ ምት ራስጌ፣ phantom-bot.service የስርዓት ክፍል፣ com.phantom.bot የLaunchAgent መለያ፣ እና የፋንተምዴድኮድ@ የኢሜይል እጀታ። ኦፕሬተሩ ቢያንስ በአራት ቅርሶች ላይ ስለዚህ ስም ወጥነት አለው።
የሲግናሎች ካታሎግ
- አታሚ - የሞት ኮድ09284814 በ npm ላይ። የአንድ እጅ መለያ፣ የTutamail ሊጣል የሚችል ኢሜይል፣ የለም SCM ማረጋገጫ። ከዚህ ዘመቻ ውጪ ምንም የቀድሞ የህትመት ታሪክ የለም።
- የምርት ስም እንደገና ጥቅም ላይ ማዋል — “ፋንተም” በአታሚው ኢሜይል ውስጥ፣ በ Phase A ሰብሳቢው የፋይል ስም ውስጥ ይታያል (ፋንተም.ጄኤስ)፣ በደረጃ B የጽናት አገልግሎት ስም (phantom-bot.service)፣ በLaunchAgent መለያ (com.phantom.bot)፣ እና በ bot ውስጥ የተጠቃሚ-ወኪል (ፋንተምቦት/1.0).
- መሠረተ ልማት — አንድ ነጠላ VPS በ 80.200.28.28 የፊት ክፍል A በሰርቪዮ ንዑስ ጎራ ሽክርክር በኩል፤ ምዕራፍ B ወደ a ይንቀሳቀሳል localhost.run የኋላ ዋሻ (b94b6bcfa27554.lhr.life) ሁለቱም የአቅራቢ አገልግሎቶች ነፃ ናቸው እና ከኦፕሬተሩ ጎን ለጎን ወደ ውጭ የሚሄድ SSH ብቻ ይፈልጋሉ፣ ከዝቅተኛ በጀት እና ዝቅተኛ-OpSec ቅንብሮች ጋር የሚጣጣም።
- የኮድ ዘይቤ — ግልጽ የሆነ ጃቫስክሪፕት በመላው፤ ምንም አይነት መደበቅ፣ ምንም አይነት የክር ኮድ መፍጠር፣ ምንም አይነት ፀረ-VM ፍተሻዎች የሉም። ተለዋዋጭ ስሞች ገላጭ ናቸው (stelSystemInfo, ትዕዛዝ አስፈጽም, httpFlood) አስተያየቶች በ distrube.js በቀጥታ የወደፊት ኦፕሬተርን (“localhost.run HTTPS URL ይጠቀሙ”) ን ያነጋግሩ፣ ይህም ፋይሉ እንደ ኪት እንደገና እንዲሰራጭ የታሰበ እንጂ በአንድ አጥቂ ጥቅም ላይ የማይውል መሆኑን ይጠቁማል።
- የ OpSec slip — የደረጃ B ታርቦል ሁለቱንም የቦት ደንበኛውን እና የኦፕሬተር-ጎን C2 አገልጋይን ይልካል (c2 ኤልኤፍ + c2.go ምንጭ)። ይህ ከፋይል ዝርዝሩን ሳያጣራ የስራ ዛፉን ወደ npm የገፋ ኦፕሬተር ጋር የሚስማማ ነው። ወይ ኦፕሬተሩ ልምድ የሌለው ወይም ኪቱ ማለት ነው በይፋ እንዲሰራጭ እና የC2 ሁለትዮሽ የምርቱ አካል ነው።
- ራስን ማረጋገጥ - axois-utils:1.0.4 የምንጭ አስተያየት ይዟል // ለሕዝብ ወደ '80.200.28.28' ይቀይሩ በመስመር 12 ላይ፣ ኦፕሬተሮች በተለምዶ የሚክዱትን የልማት/የዝግጅት/የምርት እድገት የሚያረጋግጥ።
ምክንያት መግለጽ
የደረጃ ሀ የክፍያ ጭነት ቀላል የፋይናንስ ስርቆት ነው፡ የምስክር ወረቀቶች፣ የደመና ቁልፎች፣ የጂትሆብ ቶከኖች እና የክሪፕቶ ቦርሳዎች ሁሉም የፈሳሽ ዳግም ሽያጭ ገበያዎች አሏቸው። ምዕራፍ ለ የገንዘብም ቢሆን የገንዘብ ነው፣ ግን ቀጥተኛ ያልሆነ፡ የዲዶኤስ-ለ-ኪራይ ("ቡትተር") አገልግሎቶች በደቂቃ የጎርፍ አቅምን ይከራያሉ፣ እና እዚህ የተላኩት ቦቶች ያሉ እነዚህ አገልግሎቶች የሚሰሩባቸው ክምችቶች ናቸው። የ30 ሰከንድ የልብ ምት፣ አጠቃላይ ዒላማ/ወደብ/ርዝመት የትእዛዝ ንድፍ እና የአምስት ፕሮቶኮል የጎርፍ መከላከያ መሳሪያዎች ናቸው standard የቡትተር ኦፕሬተር ውጤት።
ሁለቱንም ሞጁሎች በትይዩ ማሄድ - ኖራ-ቴምፓልቴ:1.0.19 ና 1.0.20 ሌባውን እየላከ እያለ መላክዎን ይቀጥሉ axois-utils:1.0.9 ቦትን ይልካል - ኦፕሬተሩ ደረጃ ሀን ከመተው ይልቅ የገቢ ፍሰቶችን እየከለለ መሆኑን ይጠቁማል። ፒቮቱ አንድ ነው በተጨማሪምምትክ ሳይሆን.
እኛ ያልጠየቅነው ነገር
ከጀርባው ያለውን የእውነተኛ ዓለም ማንነት ማረጋገጥ አልቻልንም። የሞት ኮድ09284814 እጀታ፣ እና ይህንን ዘመቻ ለማንኛውም የስጋት ተዋናይ፣ ቡድን ወይም ሀገር አንሰጥም። የ"ምናባዊ" የምርት ስም በቅርሶች ውስጥ አንድ ኦፕሬተርን ለመጠቆም በቂ ወጥነት ያለው ነው፣ ነገር ግን የC2 ሁለትዮሽ ኪት አይነት መላኪያ የወደፊት ፓኬጆች ከተዛማጅ እጀታዎች ተመሳሳይ ኮድ እንደገና ጥቅም ላይ እንዲውሉ እድል ይከፍታል።
ተጽዕኖ፣ አዝማሚያዎች እና ተከላካዮች ምን ማድረግ አለባቸው
ተፅዕኖ
ሕጋዊ የሆኑ የስኩዊት ኢላማዎች ዘንግ ና ኖራ-አብነት በጃቫስክሪፕት ሥነ-ምህዳር ውስጥ በስፋት ጥገኛ ናቸው፤ ዘንግ ብቻውን በጣም ከሚወርዱ ሰላሳ ከፍተኛ የnpm ፓኬጆች መካከል ይገኛል። የፊደል አጻጻፍ ስሞች ከእውነተኛዎቹ አንድ የቁልፍ ጭረት ርቀት ላይ ናቸው (አክሶይስ ↔ ዘንግ, ቴምፓልቴ ↔ አብነት) እና ሁለቱም በቋንቋ ደረጃ ተቀባይነት ያላቸው የተሳሳቱ የፊደል አጻጻፍ ናቸው።
ከማውረድዎ በፊት ለተንኮል አዘል ስሪቶች አስተማማኝ የማውረጃ ስታቲስቲክስ ማግኘት አልቻልንም - ፓኬጁ ከታተመ በኋላ npm በእያንዳንዱ ስሪት የማውረጃ ብዛትን አያስቀምጥም፣ እና npms.io-ስታይል ፕሮክሲዎች በዚህ ደረጃ ጫጫታ ይፈጥራሉ። የመቆለፊያ ፋይሉ ወደተሰየመ ፓኬጅ የሚቀየር ማንኛውም ድርጅት አክሲስ-ዩቲልስ or ኖራ-ቴምፓልቴ ከአሳታሚ የሞት ኮድ09284814 እንደተጠለፈ መታየት አለበት፡- እያንዳንዱን ማስረጃ በ ውስጥ ያሽከርክሩ process.env በተጎዳው አስተናጋጅ ላይ፣ በኦፕሬቲንግ ሲስተም (ኦዲት ፐርሰንት ቬክተሮች) (ከታች "ተሟጋቾች ምን ማድረግ አለባቸው" የሚለውን ይመልከቱ) እና ጥገኝነቱን ያስወግዱ።
ብቅ ያሉ ቅጦች
ይህ ዘመቻ በቅርብ ጊዜ በተከሰቱ በርካታ የnpm ክስተቶች ላይ ያየነውን ለውጥ ምሳሌ ያሳያል፡ የመጫኛ መንጠቆ ስካፎልድ ዘላቂ ንብረት ነው፤ የክፍያው ጭነት ሊለዋወጥ የሚችል ነው. ያው አሳታሚ፣ ያው ፓኬጅ፣ ያው ቅድመ-ጭነት / ጫን / ድህረ-ጭነት ሶስትዮሽ፣ እና ተመሳሳይ ስሪት - የባምፕ ካዴንስ - በመካከላቸው የተለወጠው ብቸኛው ነገር axois-utils:1.0.6 ና axois-utils:1.0.9 ፋይሉ ነበር hooks አሂድ። በፊርማ ላይ የተመሠረተ ማወቂያ ለ Phase A payload (የኪስ ቦርሳ መንገድ ሕብረቁምፊዎች፣ ፋንተም.ጄኤስየ7,667-መስመር ሰብሳቢው፣ ሰርቬኦ C2 አስተናጋጅ) የመጀመሪያዎቹን ሶስት ስሪቶች ጠቁሞ የደረጃ Bን ሙሉ በሙሉ አምልጦት ነበር።
ተመሳሳይ ንድፍ በ2026 በሌሎች ዘመቻዎች ላይ ይታያል፤ የተረጋጋ ስካፎልድ ያለው አንድ ኦፕሬተር፣ በማረጋገጫ ስርቆት፣ በፈተና ማጭበርበር ደንበኞች መካከል መለዋወጥ፣ የቴሌግራም-ቦት ኤክስፊል እና አሁን የዲዶኤስ ቅጥር። በክፍያ ፊርማዎች ላይ የሚተማመኑ ተከላካዮች በእያንዳንዱ ዘመቻ ሁለተኛ ዙር ሽንፈታቸውን ይቀጥላሉ።
ውጤቱም ያ ነው የመጫኛ ጊዜ TTPዎች የተሻሉ ምልክቶች ናቸውየሶስትዮሽ የመጫኛ መንጠቆ መግለጫዎች፣ የሚያስመጡ የጭነት ስክሪፕቶች https or የልጅ_ሂደት፣ በተጠቃሚ-ጅምር አቃፊዎች ላይ የሚጽፉ ስክሪፕቶችን ይጫኑ፣ እና በነጻ የተገላቢጦሽ-ዋሻ አገልግሎቶች ላይ የአስተናጋጅ ስሞችን የሚፈቱ ስክሪፕቶችን ይጭናሉ (Serveo፣ localhost.run, ngrok, cloudflared) ሁሉም በሕጋዊ ፓኬጆች ውስጥ ብርቅዬ ሲሆኑ በተንኮል አዘል ፓኬጆችም የተለመዱ ናቸው።
ተከላካዮች ምን ማድረግ አለባቸው
- የመቆለፊያ ፋይል ኦዲት. እያንዳንዱን ፈልግ ጥቅል-መቆለፊያ.json / ክር.መቆለፊያ / pnpm-lock.yaml ለትክክለኛዎቹ ሕብረቁምፊዎች በድርጅትዎ ውስጥ አክሲስ-ዩቲልስ ና ኖራ-ቴምፓልቴ. ማንኛውንም ግጥሚያ እንደ ስምምነት አድርገው ይመለከቱት።
- ምስጢሮችን አዙር በተጎዱ አስተናጋጆች ላይ። ደረጃ ሀ በጅምላ የተሰበሰበ SSH፣ ክላውድ፣ GitHub፣ npm እና የኪስ ቦርሳ ምስክርነቶች። በ ውስጥ የሚገኘውን እያንዳንዱን የምስክር ወረቀት አስብ process.env, ~/.ssh, ~/.aws, ~/.npmrc, ~/.config፣ ወይም ማንኛውም .env* በተጎዳው አስተናጋጅ ላይ ያለው ፋይል ተጋልጧል።
- ጽናት (ደረጃ ለ) ያስወግዱ። በዊንዶውስ ላይ፣ ሰርዝ HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SystemUpdate፣ አስወግድ %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\system-update.bat, እና schtasks /delete /tn SystemUpdate /fበሊኑክስ ላይ፣ crontab-e እና አስወግደው @ዳግም አስነሳ ኖድ…, systemctl –user disable –now phantom-bot.service ከዚያ ሰርዝ ~/.config/systemd/user/phantom-bot.service፣ ማጽጃ .bashrc / .zshrc / /etc/rc.localበ macOS ላይ፣ launchctl ማራገፍ ~/Library/LaunchAgents/com.phantom.bot.plist ከዚያም ፕሊስቱን ሰርዝ።
- የC2 አስተናጋጆችን አግድ። በIOC ሰንጠረዥ ውስጥ ያሉትን አራት የC2 የመጨረሻ ነጥቦችን ወደ መውጫ ዝርዝርዎ ያክሉ። *.servousercontent.com ና *.ል.ህር.ህይወት አካባቢዎ ለሪቨር-ቱነል አገልግሎቶች ህጋዊ ጥቅም ከሌለው በጅምላ ሊታገድ ይችላል።
- በመጫኛ ጊዜ TTP ይፈልጉ, የክፍያ ጭነት አይደለም። የእቃ ዝርዝር መቆለፊያ ፋይል ግቤቶች የማን package.json ያውጃል ቅድመ-ጭነት, ጫን, እና ድህረ-ጭነት ሁሉም ወደ ተመሳሳይ ስክሪፕት ይጠቁማሉ። ከጥቅል ዕድሜ እና ከአሳታሚ ማረጋገጫ ሁኔታ ጋር ክሮስ-ቼክ ያድርጉ። ይህ ንድፍ በሕጋዊ ፓኬጆች ውስጥ ብርቅ ነው እና PhantomBot እንደገና ጥቅም ላይ የሚውልበት ብቸኛው አስተማማኝ ምልክት ነው።
- የC2 ሁለትዮሽ ኦዲት። የወረደ ማንኛውም ሰው axois-utils:1.0.9 የኦፕሬተሩ C2 አገልጋይ አለው (c2 ኤልኤፍ፣ sha256 165fa92d…) በዲስክ ላይ። የስካን መሸጎጫዎችን እና የCI ቅርሶችን ማከማቻዎችን። ሁለትዮሽ በራሱ እንቅልፍ የለውም፣ ነገር ግን በሰርቲፋክት ላይ መኖሩ ፓኬጁ መጫኑን የሚያሳይ ግልጽ ማስረጃ ነው።
የመዝጊያ መስመር
ተመሳሳዩ ኦፕሬተር፣ ተመሳሳይ ፓኬጅ እና ተመሳሳይ የመጫኛ መንጠቆ በ48 ሰዓታት ውስጥ ሙሉ በሙሉ የተለያዩ አደጋዎችን ሊያመጣ ይችላል። የጭነት ጭነቱን ሳይሆን ስካፎልዱን ይመልከቱ።




