TL; DR
Usa ka tigmantala sa npm, deadcode09284814, nagpadagan og kampanya sa typosquat batok sa lehitimo axios ug chalk-template mga pakete sukad sa tunga-tunga sa Mayo 2026.
Nagsugod ang kampanya isip usa ka naandan nga pagpangawat og kredensyal ug pitaka, nga nagkuha sa datos ngadto sa usa ka Serveo HTTPS tunnel.
On 2026-05-17, uban sa axois-utils:1.0.9, giilisan sa operator ang payload sa hingpit: parehas nga triple install-hook scaffold, parehas nga publisher, parehas nga ngalan sa pakete.
Apan ang install script karon usa na ka cross-platform DDoS botnet recruit.
Ang kargamento nakigsulti sa usa ka localhost.run tunnel ug modawat og mga flood command, nga maghimo sa mga nataptan nga palibot nga kabahin sa usa ka DDoS-capable botnet.
Gipadala pa gani sa operator ang Binary sa C2 server sulod sa tarball, nga nagpakita sa klaro nga pag-usbaw gikan sa pagpangawat sa kredensyal ngadto sa aktibong imprastraktura sa botnet.
Duha ka pakete, upat ka bersyon nga aktibo pa sa registry, ug usa ka operator karon ang nagpadagan sa duha ka module nga dungan.
Kagrabe: taas.
Ang Pag-atake: Giunsa Kini Paglihok
Ang kampanya gitukod sa usa ka tinuyo nga makalaay nga scaffold sa paghatud: duha ka typosquat nga mga ngalan sa pakete, usa ka letra nga gilay-on gikan sa mga pakete nga adunay gatusan ka milyon nga sinemana nga pag-download (axios, template nga chalk), ug triple nga pag-instalar hooks nga naggarantiya sa pagpatuman. Ang makapainteres mao kung unsa ang scaffold nagdala — ug ang kamatuoran nga giusab sa operator ang kargamento nga wala’y giusab nga bisan unsa.
Ang gipaambit nga scaffolding
Ang matag gipatik nga bersyon sa duha ka pakete nagdeklarar sa parehas nga siklo sa kinabuhi sa tulo ka pakete. hooks in package.json:
"scripts": { "preinstall": "node <payload>.js", "install": "node <payload>.js", "postinstall": "node <payload>.js" } Paglista sa payload ubos sa tanang tulo hooks sobra ra kaayo — pagkahuman sa pag-instalar modagan ra sa default npm pag-instalarAng pagpili importante: npm install –ignore-scripts molaktaw sa mga script, apan daghang komon nga mga workflow (ang CI cache nagpahiuli sa maong re-run lifecycle hooks pinili, o mga developer nga nag-audit lang pagkahuman sa pag-instalar) paghimo og triple-redundant nga deklarasyon nga mao ang pinakaluwas nga pusta para sa tig-atake.
chalk-tempalte nagdugang ug ikaduhang mekanismo: kini nagdeklarar axois-utils:^1.0.7 isip usa ka runtime pagsalig saPag-instalar sa typosquatted template nga chalk busa mokuha usab sa sibling typosquat, ug ang duha ka payload modagan. Ang duha ka pakete usa ka koordinadong pares, dili independente nga mga listahan.
Hugna A — kawatan og kredensyal / pitaka (2026-05-15 → karon)
Ang Phase A mao ang orihinal nga payload. Ang loader usa ka mubo nga postinstall.js nga nagtudlo sa usa ka Serveo HTTPS reverse-tunnel:
// chalk-tempalte/postinstall.js:11-13 const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com"; const C2_PORT = 443; const C2_PATH = '/collect'; Ang Serveo subdomain nag-encode sa destination IP (80.200.28.28) direkta sa hostname — usa ka mailhan nga kombensiyon para sa maong serbisyo. Ang operator mo-rotate sa random subdomain prefix tali sa mga bersyon aron malikayan ang mga naïve domain blocklist, apan ang nagpahiping IP dili gyud molihok. (chalk-tempalte:1.0.14 gigamit 8a3e818ea8f11186-80-200-28-28…; 1.0.16 / 1.0.19 / 1.0.20 gamit f04a273bd84c0622-….)
postinstall.js mga kamot nga walay kamot phantom.js, usa ka 7,667-line nga gi-bundle nga "collector" module. phantom.js naglakaw ang host para sa:
Mga pribadong yawe sa SSH (~/.ssh/*) |
.npmrc mga sulod ug bisan unsang npm_* mga token sa env |
| Mga file sa kredensyal sa AWS, GCP, ug Azure |
GitHub personal-access-token regex (ghp_*, gho_*, ghu_*, ghs_*) |
| Mga artifact sa crypto-wallet para sa Bitcoin, Exodus, Electrum, Monero, Litecoin, Dogecoin, Zcash, Dash |
Usa ka rekursibo .env* lakaw agi ~/projects, ~/dev, ~/code, ~/workspace, ug ang pag-instalar sa cwd |
Mga kasaysayan sa Shell ug ang kompletong impormasyon process.env |
Ang bundle ipadala sa Serveo tunnel sa /kolektaWalay paglibog, walay anti-VM logic, walay pag-stage — ang pusta sa operator naa sa volume ug speed.
Hugna B — Pag-recruit sa PhantomBot DDoS (2026-05-17, axois-utils:1.0.9 lamang)
Ang Phase B mopuli sa phantom.js + postinstall.js og usa ka file nga ginganlan og distrube.js (ang typo iya sa operator). Ang triple-hook scaffold sa package.json wala mausab; ang package nagpabilin sa parehas nga ngalan, scope, ug version-bump pattern. Gikan sa gawas, ang axois-utils:1.0.9 morag gamay nga sumpay sa 1.0.6. Sa sulod, kini usa ka lahi nga pamilya sa malware.
distrube.js moabli gamit ang usa ka configuration block nga nagngalan sa kaugalingong branding sa operator:
// axois-utils-1.0.9/distrube.js:11-15 |
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally) |
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel |
const C2_PORT = 443; // HTTPS port - tunnel handles SSL |
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`; |
Ang mga komento gi-address ngadto sa umaabot nga operator nga nagpadagan sa kit (“Gamita ang imong localhost.run HTTPS URL”). Kana, dugang pa sa ipadala tupad sa bot client, mao ang timailhan nga kini dili lang usa ka payload sa biktima — kini ang kit.
Ang agos:
- Paglahutay modagan una. Ang script mo-install sa iyang kaugalingon sa tulo ka lain-laing paagi matag OS (registry run + Folder sa pagsugod + mga schtasks sa Windows; crontab + serbisyo sa phantom-bot yunit sa sistema + .bashrc/.zshrc idugang + /etc/rc.local sa Linux; LaunchAgent com.phantom.bot.plist sa macOS). Ang ngalan sa persistence service ug ang LaunchAgent label pareho nga phantom-bot / com.phantom.bot, nga mao usab ang gigikanan sa ngalan sa kampanya.
- Impormasyon sa sistema exfil modagan kausa — usa ka one-shot nga fingerprint POST ngadto sa b94b6bcfa27554.lhr.life:443/collect nga nagdala sa hostname, platform, arch, username, CPU/RAM, network interfaces, process.env, cwd, homedir, node version, ug public IP. Kini dili kaayo agresibo kay sa Phase A: walay SSH, walay wallets, walay .env recursion. Ang trabaho sa bot mao ang pag-enroll, dili ang pagpangawat.
- Ligid sa pitik sa kasingkasing moabli og HTTPS POST matag 30 segundos ngadto sa b94b6bcfa27554.lhr.life:443/. Ang User-Agent kay PhantomBot/1.0. Ang TLS verification klaro nga gi-disable (rejectUnauthorized: false). Ang C2 response gi-parse isip JSON sa porma nga {type, target, port, duration, threads, method} ug gi-dispatsa.
- Mga arsenal sa baha konektado sa unom ka mga sugo:
| Tipo sa sugo | module | Mubo nga mga sulat |
|---|---|---|
| ping | Tubag sa kadasig | Ang bot nagpaila sa iyang kaugalingon |
| Http | Baha sa HTTP | Layer-7 nga hangyo sa pagbaha |
| https | Baha sa HTTPS | Parehas sa http, giputos sa TLS |
| tcp | Baha sa TCP | 65 KB nga random-payload spam |
| pud | Baha sa UDP | 65,507-byte nga mga pakete sa UDP |
| paspas | HTTP/2 paspas nga pag-reset sa DoS | Ang 2023 CVE-2023-44487 nga teknik |
Ang tanang lima ka flood modules mokuha og target, Dunggoanan, gidugayon, Ug hilo argumento — ang bot usa ka generic nga for-hire flooder, dili gitumong sa bisan kinsang partikular nga biktima. Ang listahan sa biktima sa operator anaa sa C2, wala sa pakete.
Unsay Bag-o Dinhi — ang gipadala nga C2 binary
Ang Phase A usa ka pamilyar nga porma: pagpangawat sa kredensyal, install hook, vendor-tunneled C2. Ang Phase B mao ang usab usa ka pamilyar nga porma — ang mga DDoS botnet usa ka bahin sa mga malisyosong npm package sulod sa mga katuigan. Ang talagsaon mao nga ang operator nagpadala sa bahin sa server sa kit sulod sa npm tarball:
- c2 — usa ka 4-megabyte nga gi-compile nga Go ELF binary
- c2.go — ang 426-line nga Go nga tinubdan para sa maong binary
Walay file nga gitawag sa bisan unsang install hook. Dili sila kabahin sa payload sa biktima. Naa sila sa package directory sa parehas nga paagi sa usa ka documentation file. Ang labing katuohan nga pagbasa mao nga ang operator nag-push sa ilang development working tree ngadto sa npm nga wala gi-curate ang lista sa file — usa ka tinuod nga OpSec slip — ug ang gipadala mao ang kompleto nga two-sided kit: ang client nga gipadagan sa biktima, ug ang server nga gipadagan sa operator.
Mao kini ang bahin sa istorya nga nagpakamatarong sa "turnkey botnet kit" framing. Bisan kinsa nga nag-download axois-utils:1.0.9 sa dili pa ang takedown dili lang kay sample sa biktima ang naa — naa silay nagtrabaho nga C2 server.
Ang pivot, sa usa ka sentence
Parehas nga tigmantala, parehas nga ngalan sa pakete, parehas nga triple-hook scaffold, parehas nga "phantom" branding — apan ang payload nagbag-o sa modelo sa monetization sa tibuok gabiigikan sa “mga sekreto sa pag-ani nga akong mabaligya pag-usab” ngadto sa “kapasidad sa pag-abang nga akong maabangan”. Ang mga install-time nga TTP nga angay bantayan sa mga tigpanalipod halos parehas sa duha ka hugna; mga depensa nga gibase sa pirma nga gi-key sa mga string sa wallet-path sa Phase A o sa phantom.jsAng 7,667-line collector sa maong kompanya dili gyud unta makaabot sa Phase B.
| Petsa (UTC) | Hitabo |
|---|---|
| 2026-05-15 | Unang publikasyon: axois-utils:1.0.4 (Paghimo og pagsulay sa LAN, development rig sa 192.168.129.19) |
| 2026-05-15 | axois-utils:1.0.6 gipatik — Ang Hugna A C2 giilisan ngadto sa 80.200.28.28 pinaagi sa Serveo tunnel; ang komento sa tinubdan // Change to '80.200.28.28' for public gikumpirma ang dev→prod swap |
| 2026-05-16 | chalk-tempalte:1.0.14 ug 1.0.16 gipatik — nagdeklarar ang chained loader axois-utils:^1.0.7 isip usa ka runtime dependency; Gi-rotate ang Serveo subdomain |
| 2026-05-16 | Nadiskobrehan ang kampanya sa Phase A atol sa naandan nga npm scanning; gigamit ang gikumpirma nga malisyoso nga mga bersiyon |
| 2026-05-17 | axois-utils:1.0.9 gipatik — payload pivot: Ang PhantomBot DDoS nag-recruit pinaagi sa localhost.run tunnel; operator-side c2 binary ug c2.go tinubdan nga gipadala sa tarball |
| 2026-05-17 | chalk-tempalte:1.0.19 ug 1.0.20 gipatik — Phase A gihapon (stealer); ang operator karon nagpadagan sa duha ka module nga magkauban |
| 2026-05-17 | Pagkadiskobre sa Phase B atol sa routine scanning; ang mga bersiyon gigamit sa tanan 2026-05-17 bersiyon |
| (nagpadayon) | Ang mga report sa pagtangtang naghulat pa; ang tanang upat ka gipatik nga mga pakete anaa pa sa registry sa panahon sa pagsulat niini. |
Mga Timailhan sa Kompromiso
packages
| Ecosystem | package | Mga bersikulo |
|---|---|---|
| npm | axois-utils (sayop sa pag-type sa axios) | 1.0.4, 1.0.6, 1.0.9 |
| npm | chalk-tempalte (typosquat sa chalk-template) | 1.0.14, 1.0.16, 1.0.19, 1.0.20 |
Identidad sa Awtor
| Field | bili |
|---|---|
| tigmantala sa npm | deadcode09284814 |
| Email sa tigmantala | phantomdeadcode@tutamail.com |
| SCM panghimatuud | walay bisan kinsa nga |
Sugo-ug-kontrol
| Phase | Endpoint | Transport |
|---|---|---|
| A | f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect | Serveo HTTPS tunnel |
| A | 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect | Serveo HTTPS tunnel (mas naunang bersyon) |
| A | 80.200.28.28:443/collect | Nagpaluyo nga VPS endpoint |
| B | b94b6bcfa27554.lhr.life:443/ | localhost.run HTTPS reverse-tunnel |
Mga digest sa file (SHA-256)
| file | SHA-256 | Mubo nga mga sulat |
|---|---|---|
c2 (Lakaw ELF, 4 MB) | 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 | C2 server sa kilid sa operator, gipadala sa sulod axois-utils:1.0.9 |
c2.go (426 ka linya) | 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 | Adto sa tinubdan para sa C2 binary |
distrube.js | 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 | Kliyente sa bot sa Phase B |
phantom.js (chalk-tempalte:1.0.19) | 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 | Kolektor sa kredensyal / pitaka sa Phase A |
phantom.js (chalk-tempalte:1.0.20) | d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 | Kolektor sa Phase A (1.0.20 nga variant) |
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) | ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 | Phase A loader, byte-identical sa duha ka bersyon |
Pag-ila ug Motibasyon
Gisubay namo kini nga kampanya isip PhantomBot, nga gikuha ang kaugalingong branding sa operator gikan sa Ahente sa Gumagamit: PhantomBot/1.0 ulohan sa pitik sa kasingkasing, ang serbisyo sa phantom-bot yunit sa sistema, ang com.phantom.bot LaunchAgent label, ug ang phantomdeadcode@ kuptanan sa email. Ang operator makanunayon bahin niini nga ngalan sa labing menos upat ka mga artifact.
Katalogo sa mga signal
- Tagmantala - deadcode09284814 sa npm. Usa ra ka kuptanan nga account, Tutamail disposable email, dili SCM beripikasyon. Walay naunang kasaysayan sa publikasyon lapas niining kampanya.
- Paggamit pag-usab sa branding — Ang “phantom” makita sa email sa tigmantala, sa Phase A collector filename (phantom.js), sa ngalan sa serbisyo sa pagpadayon sa Phase B (serbisyo sa phantom-bot), sa label nga LaunchAgent (com.phantom.bot), ug sa bot nga User-Agent (PhantomBot/1.0).
- Infrastructure — Usa ka VPS sa 80.200.28.28 atubangan sa Phase A pinaagi sa Serveo subdomain rotation; Ang Phase B mobalhin ngadto sa usa ka localhost.run baliktad nga tunel (b94b6bcfa27554.lhr.lifeLibre ang duha ka serbisyo sa vendor ug nanginahanglan lang og outbound SSH sa bahin sa operator, subay sa mga low-budget ug low-OpSec setup.
- estilo sa code — Yano nga JavaScript sa tibuok; walay paglibog, walay string encoding, walay anti-VM checks. Ang mga ngalan sa variable kay deskriptibo (kawaton ang Impormasyon sa Sistema, executeCommand, httpBaha). Mga komento sa distrube.js direktang mo-address sa usa ka umaabot nga operator (“Gamita ang imong localhost.run HTTPS URL”), nga nagsugyot nga ang file gituyo nga iapod-apod pag-usab isip usa ka kit, dili gamiton sa usa ka tig-atake.
- Slip sa OpSec — Ang Phase B tarball nagpadala sa bot client ug sa operator-side C2 server (c2 ELF + c2.go (tinubdan). Kini nahiuyon sa usa ka operator nga nagduso sa ilang working tree ngadto sa npm nga wala gi-audit ang lista sa file. Bisan ang operator walay kasinatian, o ang kit gipasabot iapod-apod sa publiko ug ang C2 binary kabahin sa produkto.
- Pagkumpirma sa kaugalingon - axois-utils:1.0.4 naglangkob sa tinubdan nga komento // Usba ngadto sa '80.200.28.28' para sa publiko sa linya 12, nga nagpamatuod sa pag-uswag sa dev / staging / produksiyon nga kasagarang gilimod sa mga operator.
kadasig
Ang Phase A payload kay prangka nga pagpangawat sa pinansyal: ang mga kredensyal, cloud keys, GitHub tokens, ug crypto wallets tanan adunay liquid resale markets. Ang Phase B kay pinansyal usab, apan dili direkta: ang mga serbisyo sa DDoS-for-hire (“booter”) nag-abang og flood capacity kada minuto, ug ang mga bot sama sa gipadala dinhi mao ang imbentaryo nga gigamit sa maong mga serbisyo. Ang 30-segundos nga heartbeat, ang generic target/Dunggoanan/gidugayon eskema sa mando, ug ang lima ka protocol nga arsenal sa baha mao ang standard produkto sa usa ka booter operator.
Pagpadagan sa duha ka module nga dungan — chalk-tempalte:1.0.19 ug 1.0.20 padayon sa pagpadala sa kawatan samtang axois-utils:1.0.9 nagpadala sa bot — nagsugyot nga ang operator nag-hedge sa mga revenue stream imbes nga biyaan ang Phase A. Ang pivot usa ka Dugang pa, dili kapuli.
Ang wala nato giangkon
Wala pa mi makakumpirmar sa tinuod nga pagkatawo sa luyo sa deadcode09284814 handle, ug wala namo gipahinungod kini nga kampanya sa bisan unsang ginganlan nga aktor sa hulga, grupo, o nasud. Ang "phantom" branding igo nga makanunayon sa mga artifact aron magsugyot og usa ka operator, apan ang kit-style nga pagpadala sa C2 binary nagbukas sa posibilidad nga ang umaabot nga mga pakete gikan sa wala’y kalabutan nga mga handle mogamit pag-usab sa parehas nga code.
Epekto, Mga Uso ug Unsay Angay Buhaton sa mga Tigpanalipod
Epekto
Ang lehitimong mga squat target axios ug template nga chalk kay kaylap nga gisaligan sa JavaScript ecosystem; axios nag-inusarang naa sa top traynta nga pinaka-download nga mga npm package. Ang mga typosquat nga ngalan usa ra ka keystroke ang gilay-on gikan sa tinuod (axois ↔ axios, tempalte ↔ template), ug pareho kining mga sayop nga spelling nga posible sa pinulongan.
Wala kami makakuha og kasaligang estadistika sa pag-download para sa mga malisyosong bersyon sa wala pa ang pagtangtang — ang npm wala magtipig sa mga ihap sa pag-download kada bersyon human ma-unpublish ang usa ka pakete, ug npms.ioAng mga -style nga proxy saba kaayo niining sukod. Bisan unsang organisasyon kansang lockfile mo-resolve sa usa ka package nga ginganlan og axois-utils or chalk-tempalte gikan sa tigmantala deadcode09284814 kinahanglan nga isipon nga nakompromiso: i-rotate ang matag kredensyal nga anaa sa proseso.env sa apektadong host, i-audit ang persistence vectors kada OS (tan-awa ang “Unsay angay buhaton sa mga defender” sa ubos), ug tangtanga ang dependency.
Mga nag-uswag nga sumbanan
Kini nga kampanya nagpakita sa usa ka pagbag-o nga atong nakita sa daghang bag-o nga mga insidente sa npm: ang install-hook scaffold mao ang lig-on nga kabtangan; ang payload mahimong ilisanAng parehas nga tigmantala, ang parehas nga pakete, ang parehas pag-instalar daan / pag-instalar / pagkahuman sa pag-instalar triple, ug bisan ang parehas nga version-bump cadence — ang bugtong butang nga nausab tali sa axois-utils:1.0.6 ug axois-utils:1.0.9 mao ba ang file ang hooks dagan. Pag-ila nga gibase sa pirma nga gi-key sa Phase A payload (mga string sa wallet-path, phantom.js's 7,667-line collector, ang Serveo C2 host) unta nakabantay sa unang tulo ka bersyon ug wala gyud makatambong sa Phase B.
Ang parehas nga sumbanan makita sa ubang mga kampanya sa 2026 nga among gisubay: usa ka operator nga adunay lig-on nga scaffold, pag-ilis-ilis tali sa pagpangawat sa kredensyal, mga kliyente nga nangopya sa eksamin, Telegram-bot exfil, ug karon DDoS recruitment. Ang mga tigdepensa nga nagsalig sa mga pirma sa payload padayon nga mapildi sa ikaduhang hugna sa matag kampanya.
Ang sangputanan mao nga Ang mga install-time TTP mao ang mas maayong signalTriple nga deklarasyon sa install-hook, mga install script nga gi-import https or proseso sa bata, pag-instalar og mga script nga mosulat sa mga folder nga nagsugod sa tiggamit, ug pag-instalar og mga script nga mosulbad sa mga hostname sa libre nga mga serbisyo sa reverse-tunnel (Serveo, localhost.run, ngrok, cloudflared) talagsa ra sa mga lehitimong pakete ug komon sa mga malisyoso nga pakete.
Unsay angay buhaton sa mga tigpanalipod
- Pag-audit sa Lockfile. Pangitaa matag package-lock.json / yarn.lock / pnpm-lock.yaml sa imong organisasyon para sa eksaktong mga linya axois-utils ug chalk-tempalteIsipa ang bisan unsang pares isip usa ka kompromiso.
- I-rotate ang mga sekreto sa mga apektadong host. Hugna A nga bulk-harvested SSH, cloud, GitHub, npm, ug wallet credentials. Dawata ang tanang credential nga anaa sa proseso.env, ~ / .ssh, ~/.aws, ~/.npmrc, ~/.config, o uban pa .env* Ang file sa apektadong host na-expose.
- Kuhaa ang pagkamakanunayon (Hugna B). Sa Windows, papasa HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SystemUpdate, tangtangon %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\system-update.bat, Ug schtasks /delete /tn SystemUpdate /fSa Linux, crontab -e ug tangtangon @reboot node …, systemctl –i-disable sa tiggamit –karon phantom-bot.service unya tangtanga ~/.config/systemd/user/phantom-bot.service, kuskusin .bashrc / .zshrc / /etc/rc.localSa macOS, launchctl unload ~/Library/LaunchAgents/com.phantom.bot.plist unya i-delete ang plist.
- I-block ang mga C2 host. Idugang ang upat ka C2 endpoints sa IOC table sa imong egress blocklist. *.serveousercontent.com ug *.lhr.life mahimong mababagan sa tanan kon ang imong palibot walay lehitimong gamit para sa mga serbisyo sa reverse-tunnel.
- Pagpangita pinaagi sa oras sa pag-install nga TTP, dili kargamento. Mga entry sa lockfile sa imbentaryo kansang package.json nagpahayag pag-instalar daan, pag-instalar, Ug pagkahuman sa pag-instalar tanan nagtudlo sa parehas nga script. I-cross-check ang edad sa pakete ug ang status sa beripikasyon sa tigmantala. Talagsa ra kini nga sumbanan sa mga lehitimong pakete ug mao ang labing kasaligan nga signal nga gigamit pag-usab sa PhantomBot.
- Pag-awdit para sa C2 binary. Bisan kinsa nga nag-download axois-utils:1.0.9 adunay C2 server sa operator (c2 ELF, sha256 165fa92d…) sa disk. I-scan ang mga cache ug CI artifact store. Ang binary dili aktibo sa iyang kaugalingon, apan ang presensya niini sa usa ka workstation usa ka klaro nga ebidensya nga na-install ang package.
Linya sa pagsira
Ang parehas nga operator, parehas nga package, ug parehas nga install hook makahatag og lahi kaayo nga mga hulga sulod sa 48 oras. Bantayi ang scaffold, dili ang payload.




