TL; DR
Tək bir npm naşiri, deadcode09284814, qanuni qüvvəyə qarşı yazı səhvləri kampaniyası aparıb axios və chalk-template 2026-cı ilin may ayının ortalarından bəri paketlər.
Kampaniya, məlumatları ələ keçirən ənənəvi etimadnamə və pul kisəsi oğurluğu kimi başladı Serveo HTTPS tuneli.
On 2026-05-17Ilə axois-utils:1.0.9, operator faydalı yükü tamamilə dəyişdirdi: eyni üçlü quraşdırma qarmağı, eyni naşir, eyni paket adı.
Lakin quraşdırma skripti artıq çarpaz platformalı DDoS botnet işə qəbuludur.
Yük daşıma qabiliyyəti bir şeydən xəbər verir localhost.run tunel yaradır və daşqın əmrlərini qəbul edir, yoluxmuş mühitləri DDoS-a uyğun botnetin bir hissəsinə çevirir.
Operator hətta göndərdi C2 server ikili tarballın içərisində, etimadnamə oğurluğundan aktiv botnet infrastrukturuna qədər açıq bir eskalasiya göstərilir.
İki paket, dörd versiya hələ də reyestrdə aktivdir və bir operator hazırda hər iki modulu paralel olaraq işlədir.
Şiddət: yüksək.
Hücum: Necə İşləyir
Kampaniya qəsdən darıxdırıcı çatdırılma iskelesinin üzərində qurulub: iki səhv yazılan paket adı, yüz milyonlarla həftəlik yükləmə sayı olan paketlərdən bir hərf səhvi (axios, təbaşir şablonu) və üçqat quraşdırma hooks icrasına zəmanət verir. Maraqlı olan iskele nədir aparır — və operatorun başqa heç nəyi dəyişdirmədən yükü dəyişdirməsi faktı.
Ortaq iskele
Hər iki paketin hər dərc olunmuş versiyası eyni üç həyat dövrünü elan edir hooks in paket.json:
"scripts": { "preinstall": "node <payload>.js", "install": "node <payload>.js", "postinstall": "node <payload>.js" } Yükün hər üçünün altında sadalanması hooks həddindən artıqdır — quraşdırma sonrası təkbaşına standart rejimdə işləyəcək npm yükləyinSeçim vacibdir: npm quraşdırma –ignore-scripts skriptləri atlayır, lakin bir neçə ümumi iş axınları (CI keşi həmin yenidən işə salınan həyat dövrünü bərpa edir) hooks seçmə yolu ilə və ya yalnız audit aparan tərtibatçılar quraşdırma sonrası) hücum edən üçün ən təhlükəsiz bahis olaraq üçqat artıqlıq bəyannaməsi verin.
təbaşir şablonu ikinci bir mexanizm əlavə edir: bəyan edir axois-utils:^1.0.7 işləmə müddəti kimi asılılıqTyposquatted-in quraşdırılması təbaşir şablonu buna görə də qardaş typosquat-ı da çəkir və hər iki faydalı yük işləyir. İki paket müstəqil siyahılar deyil, əlaqələndirilmiş bir cütdür.
A mərhələsi — etimadnamə / cüzdan oğurluğu (2026-05-15 → indiki)
Faza A orijinal faydalı yükdür. Yükləyici qısadır postinstall.js Serveo HTTPS tərs tunelinə işarə edir:
// chalk-tempalte/postinstall.js:11-13 const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com"; const C2_PORT = 443; const C2_PATH = '/collect'; Serveo alt domeni təyinat IP-ni kodlayır (80.200.28.28) birbaşa host adında — həmin xidmət üçün tanınan bir konvensiya. Operator, sadə domen blok siyahılarından yayınmaq üçün təsadüfi alt domen prefiksini versiyalar arasında fırladır, lakin əsas IP heç vaxt hərəkət etmir. (chalk-tempalte:1.0.14 işlənmiş 8a3e818ea8f11186-80-200-28-28…; 1.0.16 / 1.0.19 / 1.0.20 istifadə f04a273bd84c0622-….)
postinstall.js əllərini uzadaraq phantom.js, 7,667 sətirlik paketlənmiş "kollektor" modulu. phantom.js ev sahibini gəzdirir:
SSH şəxsi açarları (~/.ssh/*) |
.npmrc məzmun və istənilən npm_* ətraf mühit tokenləri |
| AWS, GCP və Azure etimadnamə faylları |
GitHub şəxsi giriş token regex (ghp_*, gho_*, ghu_*, ghs_*) |
| Bitcoin, Exodus, Electrum, Monero, Litecoin, Dogecoin, Zcash, Dash üçün kripto-cüzdan artefaktları |
Rekursiv .env* gəzmək ~/projects, ~/dev, ~/code, ~/workspacevə cwd quraşdırın |
Shell tarixləri və tam process.env |
Paket Serveo tunelinə POST edilir /toplamaqHeç bir qarışıqlıq, VM əleyhinə məntiq, səhnələşdirmə yoxdur — operatorun əsas məqsədi səs və sürətdir.
B mərhələsi — PhantomBot DDoS işə qəbulu (2026-05-17, yalnız axois-utils:1.0.9)
B mərhələsi phantom.js + postinstall.js fayllarını distrube.js adlı tək bir faylla əvəz edir (səhv operatorundur). package.json faylındakı üçqat qarmaqlı iskele dəyişməzdir; paket eyni adı, əhatə dairəsini və versiya bump modelini saxlayır. Xaricdən axois-utils:1.0.9, 1.0.6 versiyasının kiçik bir davamı kimi görünür. İçəridə isə fərqli bir zərərli proqram ailəsidir.
distrube.js operatorun öz brendinqini adlandıran bir konfiqurasiya bloku ilə açılır:
// axois-utils-1.0.9/distrube.js:11-15 |
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally) |
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel |
const C2_PORT = 443; // HTTPS port - tunnel handles SSL |
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`; |
Şərhlər dəsti işlədən gələcək operatora ünvanlanıb (“localhost.run HTTPS URL-inizi istifadə edin”). Bot klientinin yanında göndərilən bu məlumat, bunun sadəcə qurban yükü deyil, dəstin özü olduğunu göstərir.
Axın:
- Əzmkarlıq əvvəlcə işə düşür. Skript özünü əməliyyat sisteminə görə üç fərqli şəkildə quraşdırır (qeydiyyat qaçış + Başlanğıc qovluğu + ştasklar Windows-da; crontab + fantom-bot.service sistem vahidi + .bashrc/.zshrc əlavə et + /etc/rc.local Linux-da; LaunchAgent com.phantom.bot.plist macOS-da). Davamlılıq xidmətinin adı və LaunchAgent etiketi hər ikisidir xəyal-bot / com.phantom.bot, kampaniya adının da buradan qaynaqlandığı yerdir.
- Sistem məlumatı çıxarılır bir dəfə işləyir — b94b6bcfa27554.lhr.life:443/collect ünvanına birdəfəlik barmaq izi POST əmri ilə host adı, platforma, arch, istifadəçi adı, CPU/RAM, şəbəkə interfeysləri, process.env, cwd, homedir, node versiyası və ictimai IP ünvanlarını daşıyır. Bu, A mərhələsindən daha az aqressivdir: SSH yoxdur, cüzdan yoxdur, .env rekursiyası yoxdur. Botun işi qeydiyyatdan keçməkdir, oğurluq etmək deyil.
- Ürək döyüntüsü döngəsi hər 30 saniyədə b94b6bcfa27554.lhr.life:443/ ünvanına HTTPS POST açır. İstifadəçi Agenti PhantomBot/1.0-dır. TLS doğrulaması açıq şəkildə deaktiv edilib (rejectUnauthorized: false). C2 cavabı {type, target, port, duration, threads, method} formasının JSON formatında təhlil edilir və göndərilir.
- Daşqın Arsenal altı əmrə qoşulur:
| Əmr növü | Modules | Qeydlər |
|---|---|---|
| ping | Canlılıq cavabı | Bot özünü müəyyən edir |
| http | HTTP daşqını | Layer-7 tələb daşqını |
| https | HTTPS daşqını | http ilə eyni, TLS ilə örtülmüşdür |
| tcp | TCP daşqını | 65 KB təsadüfi yüklü spam |
| udp | UDP daşqını | 65,507 baytlıq UDP paketləri |
| sürətli | HTTP/2 sürətli sıfırlama DoS | 2023 CVE-2023-44487 texnikası |
Beş daşqın modulunun hamısı bir hədəf, port, müddətivə mövzuları arqument — bot hər hansı bir konkret qurbana yönəlməmiş ümumi muzdlu flooderdir. Operatorun qurban siyahısı paketdə deyil, C2-də yerləşir.
Yeniliklər — göndərilən C2 ikili faylı
A mərhələsi tanış bir formadır: etimadnamə oğurluğu, quraşdırma çəngəli, satıcı tərəfindən tunelləşdirilmiş C2. B mərhələsi Həmçinin tanış bir forma — DDoS botnetləri illərdir zərərli npm paketlərinin bir hissəsidir. Qeyri-adi olan odur ki, operator göndərib server tərəfi npm tarballının içərisindəki dəstin:
- c2 — 4 meqabaytlıq kompilyasiya edilmiş Go ELF ikili faylı
- c2.go — həmin ikili fayl üçün 426 sətirlik Go mənbəyi
Heç bir fayl heç bir quraşdırma hooku tərəfindən çağırılmır. Onlar zərərçəkmişin faydalı yükünün bir hissəsi deyil. Onlar sənədləşmə faylı kimi paket qovluğunda yerləşirlər. Ən ağlabatan oxunuş budur ki, operator öz inkişaf işçi ağacını fayl siyahısını — əsl OpSec slipini — idarə etmədən npm-ə göndərib və göndərilən tam iki tərəfli dəstdir: müştəri zərərçəkmiş, operator isə serveri işlədir.
Bu, hekayənin "açar təhvili botnet dəsti" çərçivəsini əsaslandıran hissəsidir. Yükləyən hər kəs axois-utils:1.0.9 Silinmədən əvvəl yalnız qurban nümunəsi deyil, həm də işləyən C2 serveri var.
Bir cümlə ilə əsas nöqtə
Eyni naşir, eyni paket adları, eyni üçqat qarmaqlı iskele, eyni "xəyal" brendinqi — amma Faydalı yük bir gecədə monetizasiya modelini dəyişdirdi: “yenidən sata biləcəyim məhsul sirləri”ndən “icarəyə götürə biləcəyim daşqın tutumunu icarəyə götürməyə” qədər. Müdafiəçilərin izləməli olduqları quraşdırma müddəti TTP-ləri hər iki mərhələdə demək olar ki, eynidir; imza əsaslı müdafiələr A mərhələsinin cüzdan yolu sətirlərinə və ya phantom.js7,667 xəttli kollektor B mərhələsini tamamilə qaçırmış olardı.
| Tarix (UTC) | hadisə |
|---|---|
| 2026-05-15 | İlk nəşr: axois-utils:1.0.4 (LAN test quruluşu, dev rig at 192.168.129.19) |
| 2026-05-15 | axois-utils:1.0.6 dərc edilib — A Fazası C2 ilə dəyişdirilib 80.200.28.28 Serveo tuneli vasitəsilə; mənbə şərhi // Change to '80.200.28.28' for public dev→prod dəyişdirilməsini təsdiqləyir |
| 2026-05-16 | chalk-tempalte:1.0.14 və 1.0.16 dərc edilib — zəncirlənmiş yükləyici bəyan edir axois-utils:^1.0.7 iş vaxtı asılılığı kimi; Serveo alt domeni fırlandı |
| 2026-05-16 | A mərhələsi kampaniyası adi npm skanlanması zamanı aşkar edildi; təsdiqlənmiş zərərli hökmlər tətbiq edildi |
| 2026-05-17 | axois-utils:1.0.9 dərc edilib — faydalı yük pivot: localhost.run tuneli vasitəsilə PhantomBot DDoS işə qəbulu; operator tərəfi c2 ikili və c2.go mənbə tarbolda göndərildi |
| 2026-05-17 | chalk-tempalte:1.0.19 və 1.0.20 dərc olunub — hələ də A mərhələsi (oğurluq edən); operator hazırda hər iki modulu paralel olaraq işlədir |
| 2026-05-17 | Adi skanlama zamanı B fazasının aşkarlanması; hökmlər bütün sahələrə tətbiq edilmişdir 2026-05-17 versiyaları |
| (davam edir) | Silinmə hesabatları gözlənilir; dərc olunmuş dörd paketin hamısı yazıldığı zaman reyestrdə mövcuddur |
Kompromis göstəriciləri
Paketlər
| Ekosistem | Paketi | Sürümleri |
|---|---|---|
| npm | axois-utils (typosquat of axios) | 1.0.4, 1.0.6, 1.0.9 |
| npm | chalk-tempalte (typosquat of chalk-template) | 1.0.14, 1.0.16, 1.0.19, 1.0.20 |
Müəllif şəxsiyyəti
| Sahə | Dəyər |
|---|---|
| npm naşiri | deadcode09284814 |
| Naşirin e-poçtu | phantomdeadcode@tutamail.com |
| SCM yoxlama | heç kim |
Əmr-nəzarət
| Faza | Son nöqtə | nəqliyyat |
|---|---|---|
| A | f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect | Serveo HTTPS tuneli |
| A | 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect | Serveo HTTPS tuneli (əvvəlki versiya) |
| A | 80.200.28.28:443/collect | Əsas VPS son nöqtəsi |
| B | b94b6bcfa27554.lhr.life:443/ | localhost.run HTTPS tərs tunel |
Fayl daycestləri (SHA-256)
| fayl | SHA-256 | Qeydlər |
|---|---|---|
c2 (ELF-ə keçin, 4 MB) | 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 | Operator tərəfindəki C2 serveri, içəridə çatdırılır axois-utils:1.0.9 |
c2.go (426 sətir) | 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 | C2 ikili faylı üçün mənbəyə keçin |
distrube.js | 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 | B mərhələsi bot klienti |
phantom.js (chalk-tempalte:1.0.19) | 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 | A mərhələsi etimadnamə / cüzdan kolleksiyaçısı |
phantom.js (chalk-tempalte:1.0.20) | d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 | Faza A kollektoru (1.0.20 variantı) |
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) | ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 | Hər iki versiyada bayt baxımından eyni olan A mərhələsi yükləyicisi |
Atribut və Motivasiya
Biz bu kampaniyanı aşağıdakı kimi izləyirik PhantomBot, operatorun öz brendinqini götürərək İstifadəçi Agenti: PhantomBot/1.0 ürək döyüntüsü başlığı, fantom-bot.service sistem vahidi, com.phantom.bot LaunchAgent etiketi və fantomdeadcode@ email address. Operator ən azı dörd artefakt üzrə bu adla bağlı ardıcıldır.
Siqnallar kataloqu
- naşir - ölü kod09284814 npm-də. Tək istifadəçili hesab, Tutamail birdəfəlik e-poçt, yox SCM yoxlama. Bu kampaniyadan başqa heç bir əvvəlki nəşr tarixçəsi yoxdur.
- Brendinqin təkrar istifadəsi — “fantom” naşirin e-poçtunda, A Faza kolleksiyaçısının fayl adında görünür (phantom.js), B Fazasının davamlılıq xidmətinin adında (fantom-bot.service), LaunchAgent etiketində (com.phantom.bot), və bot İstifadəçi-Agentində (PhantomBot/1.0).
- İnfrastruktur — Tək bir VPS 80.200.28.28 Serveo alt domeninin fırlanması vasitəsilə A mərhələsi ön plana çıxır; B mərhələsi a-ya keçir localhost.run tərs tunel (b94b6bcfa27554.lhr.lifeHər iki satıcı xidməti pulsuzdur və aşağı büdcəli, aşağı OpSec quraşdırmalarına uyğun olaraq, operator tərəfindən yalnız xaricdən SSH tələb olunur.
- Kod tərzi — Sadə JavaScript; qarışıqlıq yoxdur, sətir kodlaşdırması yoxdur, anti-VM yoxlamaları yoxdur. Dəyişən adları təsviri xarakter daşıyır (oğurlamaqSistem Məlumatı, icraCommand, httpFlood). Şərhlər distrube.js birbaşa gələcək operatora ünvanlanır (“localhost.run HTTPS URL-inizi istifadə edin”), bu da faylın tək bir hücumçu tərəfindən istifadə edilməməsi üçün deyil, bir dəst kimi yenidən paylanması üçün nəzərdə tutulduğunu göstərir.
- OpSec slipi — B mərhələsi tarball həm bot klientini, həm də operator tərəfindəki C2 serverini göndərir (c2 ELF + c2.go mənbə). Bu, fayl siyahısını yoxlamadan işçi ağacını npm-ə köçürən operatorla uyğundur. Ya operator təcrübəsizdir, ya da dəst nəzərdə ictimaiyyətə paylanacaq və C2 ikili faylı məhsulun bir hissəsidir.
- Özünütəsdiqləmə - axois-utils:1.0.4 mənbə şərhini ehtiva edir // İctimaiyyət üçün '80.200.28.28' olaraq dəyişdirin 12-ci sətirdə, operatorların adətən inkar etdiyi inkişaf/sahələndirmə/istehsal irəliləyişini təsdiqləyir.
Motivasiya
A mərhələsi birbaşa maliyyə oğurluğudur: etimadnamələr, bulud açarları, GitHub tokenləri və kripto cüzdanların hamısının maye təkrar satış bazarları var. B mərhələsi də maliyyə, lakin dolayı yolla həyata keçirilir: DDoS-for-hire (“booter”) xidmətləri dəqiqəbədəqiqə icarə tutumunu artırır və burada göndərilən botlar kimi botlar həmin xidmətlərin işlədiyi inventardır. 30 saniyəlik ürək döyüntüsü, ümumi hədəf/port/müddəti əmr sxemi və beş protokollu daşqın arsenalı bunlardır standard booter operatorunun məhsulu.
Hər iki modulu paralel olaraq işlətmək — chalk-tempalte:1.0.19 və 1.0.20 oğurluq edəni göndərməyə davam edin axois-utils:1.0.9 botu göndərir — operatorun A mərhələsindən imtina etmək əvəzinə gəlir axınlarını hedcinq etdiyini göstərir. Əsas istiqamət birdir əlavə, əvəzedici deyil.
İddia etmədiyimiz şey
Biz bunun arxasında real dünya kimliyini təsdiqləyə bilmədik. ölü kod09284814 handle və biz bu kampaniyanı heç bir adlandırılan təhdid aktyoruna, qrupuna və ya ölkəyə aid etmirik. "Xəyalət" brendinqi artefaktlarda tək bir operatoru təklif etmək üçün kifayət qədər ardıcıldır, lakin C2 ikili məlumatlarının dəst tipli çatdırılması, əlaqəsiz handlelərdən gələcək paketlərin eyni kodu təkrar istifadə etməsi ehtimalını yaradır.
Təsir, Trendlər və Müdafiəçilərin Etməli Olduğu İşlər
təsir
Qanuni çömbəlmə hədəfləri axios və təbaşir şablonu JavaScript ekosistemində geniş şəkildə asılıdır; axios tək başına ən çox yüklənən otuz npm paketi arasında yer alır. Typosquat adları əsl adlardan bir düymə basışı qədər uzaqdadır (aksio ↔ axios, tempalte ↔ şablon) və hər ikisi linqvistik cəhətdən mümkün səhv yazımlardır.
Silinməzdən əvvəl zərərli versiyalar üçün etibarlı yükləmə statistikası əldə edə bilmədik — npm paket dərc olunmadıqdan sonra versiya başına yükləmə sayını saxlamır və npms.io-stil proksiləri bu miqyasda səs-küylüdür. Lockfile adlı bir paketə həll edən istənilən təşkilat axois-utils or təbaşir şablonu naşirdən ölü kod09284814 oğurlanmış kimi qəbul edilməlidir: mövcud olan bütün etimadnamələri döndürün process.env Təsirə məruz qalan host üzərində, hər əməliyyat sistemi üçün davamlılıq vektorlarını yoxlayın (aşağıdakı "Müdafiəçilər nə etməlidir" bölməsinə baxın) və asılılığı aradan qaldırın.
İnkişaf etməkdə olan modellər
Bu kampaniya son bir neçə npm hadisəsində müşahidə etdiyimiz dəyişikliyi nümunə göstərir: quraşdırma qarmağı iskələsi davamlı aktivdir; faydalı yük dəyişdirilə bilərEyni naşir, eyni paket, eyni əvvəlcədən quraşdırma / qurmaq / quraşdırma sonrası üçqat, hətta eyni versiya-bump cadence — arasında dəyişən yeganə şey axois-utils:1.0.6 və axois-utils:1.0.9 fayl idi hooks run. Faza A yükünə (cüzdan yolu sətirlərinə) bağlı imza əsaslı aşkarlama phantom.js7,667 sətirlik kolleksiyaçı, Serveo C2 host) ilk üç versiyanı işarələyəcək və B mərhələsini tamamilə qaçıracaqdı.
Eyni nümunəni izlədiyimiz digər 2026-cı il kampaniyalarında da görmək olar: sabit bir quruluşa malik tək bir operator, etimadnamə oğurluğu, imtahan fırıldaqçısı müştərilər, Telegram-bot exfil və indi DDoS işə qəbulu. Faydalı imzalara güvənən müdafiəçilər hər kampaniyanın ikinci turunda uduzmağa davam edəcəklər.
Nəticə budur ki, quraşdırma vaxtı TTP-ləri daha yaxşı siqnaldırÜçqat quraşdırma-hook bəyannamələri, idxal edən quraşdırma skriptləri https or uşaq_prosesi, istifadəçi başlanğıc qovluqlarına yazan skriptləri quraşdırın və pulsuz tərs tunel xidmətlərində (Serveo,) host adlarını həll edən skriptləri quraşdırın. localhost.run, ngrok, cloudflared) hamısı qanuni paketlərdə nadir hallarda olur və zərərli paketlərdə də yaygındır.
Müdafiəçilər nə etməlidirlər
- Kilid faylı auditi. Hər birini axtarın package-lock.json / iplik.kilid / pnpm-lock.yaml dəqiq sətirlər üçün təşkilatınızda axois-utils və təbaşir şablonuİstənilən uyğunluğa güzəşt kimi yanaşın.
- Sirləri çevirin təsirlənmiş ev sahibləri üzərində. A mərhələsində toplu şəkildə yığılmış SSH, cloud, GitHub, npm və cüzdan etimadnamələri. Mövcud olan hər bir etimadnaməni qəbul edin process.env, ~ / .ssh, ~/.aws, ~/.npmrc, ~/.config, və ya hər hansı .env* Təsirə məruz qalan hostdakı fayl aşkarlanır.
- Davamlılığı aradan qaldırın (B mərhələsi). Windows-da silin HKCU\Proqram\Microsoft\Windows\CariVersion\Run\SystemUpdate, çıxarın %APPDATA%\Microsoft\Windows\Başlat Menyu\Proqramlar\Başlanğıc\system-update.batvə schtasks /delete /tn SystemUpdate /fLinux-da, crontab-e və çıxarın @reboot node …, systemctl –istifadəçi deaktiv et –indi phantom-bot.service sonra silin ~/.config/systemd/user/phantom-bot.service, ovucu .bashrc / .zshrc / /etc/rc.localmacOS-da, launchctl unload ~/Library/LaunchAgents/com.phantom.bot.plist sonra plist faylını silin.
- C2 hostlarını bloklayın. IOC cədvəlindəki dörd C2 son nöqtəsini çıxış blok siyahınıza əlavə edin. *.serveousercontent.com və *.lhr.həyat Əgər mühitinizin tərs tunel xidmətləri üçün qanuni istifadəsi yoxdursa, topdansatış bloklana bilər.
- Quraşdırma vaxtı TTP ilə axtarış, faydalı yük deyil. İnventar kilidi faylı girişləri kimin paket.json elan əvvəlcədən quraşdırma, qurmaqvə quraşdırma sonrası hamısı eyni skriptə işarə edir. Paketin yaşı və naşirin təsdiqləmə statusunu çarpaz yoxlayın. Bu nümunə qanuni paketlərdə nadirdir və PhantomBot-un təkrar istifadə etdiyi ən etibarlı siqnaldır.
- C2 binar faylı üçün audit. Yükləyən hər kəs axois-utils:1.0.9 operatorun C2 serverinə malikdir (c2 ELF, sha256 165fa92d…) diskdə. Keşləri və CI artefakt saxlama yerlərini skan edin. İkili fayl özü hərəkətsizdir, lakin iş stansiyasında olması paketin quraşdırıldığının birmənalı sübutudur.
Bağlanış xətti
Eyni operator, eyni paket və eyni quraşdırma çəngəli 48 saat ərzində tamamilə fərqli təhdidlər yarada bilər. Faydalı yükə deyil, iskeleyə diqqət yetirin.




