TL؛ DR
یک ناشر npm واحد، deadcode09284814، یک کمپین غلط املایی علیه مشروع به راه انداخته است axios و chalk-template بستهها از اواسط ماه مه 2026.
این کمپین به عنوان یک دزد اطلاعات حساب و کیف پول معمولی آغاز شد و دادهها را به ... منتقل میکرد. تونل HTTPS Serveo.
On 2026-05-17، با axois-utils:1.0.9، اپراتور کل محتوای مخرب را تغییر داد: همان داربست سهگانه نصب-قلاب، همان ناشر، همان نام بسته.
اما اسکریپت نصب اکنون به یک باتنت DDoS چندسکویی تبدیل شده است.
محموله با یک localhost.run تونل میزند و دستورات سیلآسا را میپذیرد و محیطهای آلوده را به بخشی از یک باتنت با قابلیت DDoS تبدیل میکند.
اپراتور حتی ارسال کرد باینری سرور C2 درون فایل فشرده (tarball)، که نشاندهندهی افزایش آشکار از سرقت اطلاعات کاربری به زیرساخت فعال باتنت است.
دو بسته، چهار نسخه هنوز در رجیستری فعال هستند و یک اپراتور اکنون هر دو ماژول را به صورت موازی اجرا میکند.
شدت: زیاد.
حمله: چگونه کار میکند
این کمپین بر روی یک چارچوب تحویل عمداً خستهکننده ساخته شده است: دو نام بسته با غلط املایی، یک حرف متفاوت از بستههایی با صدها میلیون دانلود هفتگی (آکسیوس, قالب گچی) و نصب سهگانه hooks که اجرا را تضمین میکند. نکته جالب این است که داربست چیست حمل می کند - و این واقعیت که اپراتور محموله را بدون تغییر هیچ چیز دیگری تغییر داده است.
داربست مشترک
هر نسخه منتشر شده از هر دو بسته، سه چرخه حیات یکسان را اعلام میکند. hooks in pack.json:
"scripts": { "preinstall": "node <payload>.js", "install": "node <payload>.js", "postinstall": "node <payload>.js" } فهرست کردن محموله تحت هر سه مورد hooks زیادهروی است - نصب پس از نصب alone به صورت پیشفرض اجرا میشود نصب npmانتخاب مهم است: نصب npm –ignore-scripts اسکریپتها را رد میکند، اما چندین گردش کار رایج (حافظه پنهان CI آن چرخه حیات را دوباره اجرا میکند) را بازیابی میکند. hooks به صورت گزینشی، یا توسعهدهندگانی که فقط حسابرسی میکنند نصب پس از نصب) یک اعلان سهگانه اضافی را امنترین شرط برای مهاجم قرار دهید.
الگوی گچی مکانیسم دومی اضافه میکند: اعلام میکند axois-utils:^1.0.7 به عنوان زمان اجرا وابستگینصب typosquatted قالب گچی بنابراین، typosquat خواهرخوانده را نیز جذب میکند و هر دو payload اجرا میشوند. این دو بسته یک جفت هماهنگ هستند، نه فهرستهای مستقل.
مرحله الف - سارق اطلاعات هویتی/کیف پول (۱۵-۰۵-۲۰۲۶ → تاکنون)
فاز A محموله اصلی است. لودر یک وسیله نقلیه کوتاه مدت است. postinstall.js که به یک تونل معکوس Serveo HTTPS اشاره میکند:
// chalk-tempalte/postinstall.js:11-13 const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com"; const C2_PORT = 443; const C2_PATH = '/collect'; زیر دامنه Serveo، IP مقصد را کدگذاری میکند (80.200.28.28) مستقیماً در نام میزبان - یک قرارداد قابل تشخیص برای آن سرویس. اپراتور پیشوند زیر دامنه تصادفی را بین نسخهها میچرخاند تا از لیستهای مسدود شده دامنه ساده جلوگیری کند، اما IP اصلی هرگز تغییر نمیکند. (الگوی گچی: ۱.۰.۱۴ استفاده 8a3e818ea8f11186-80-200-28-28…استفاده از نسخههای ۱.۰.۱۶ / ۱.۰.۱۹ / ۱.۰.۲۰ f04a273bd84c0622-….)
postinstall.js دست از کار کشیدن به فانتوم.js، یک ماژول «جمعکننده» ۷۶۶۷ خطی. فانتوم.js میزبان را برای موارد زیر همراهی میکند:
کلیدهای خصوصی SSH (~/.ssh/*) |
.npmrc محتویات و هرگونه npm_* توکنهای env |
| فایلهای اعتبارنامههای AWS، GCP و Azure |
عبارت منظمِ توکنِ دسترسی شخصی در گیتهاب (ghp_*, gho_*, ghu_*, ghs_*) |
| مصنوعات کیف پول رمزنگاری برای بیت کوین، اکسودوس، الکتروم، مونرو، لایت کوین، دوج کوین، زی کش، دش |
یک بازگشتی .env* قدم زدن ~/projects, ~/dev, ~/code, ~/workspaceو نصب cwd |
تاریخچه شل و اطلاعات کامل process.env |
بسته نرم افزاری به تونل Serveo در ارسال می شود /جمع آوریهیچ ابهامسازی، هیچ منطق ضد ماشین مجازی و هیچ مرحلهبندی وجود ندارد - شرط اپراتور روی حجم و سرعت است.
مرحله ب - جذب PhantomBot DDoS (2026-05-17، فقط axois-utils:1.0.9)
مرحله ب، فایلهای phantom.js + postinstall.js را با یک فایل واحد به نام distrube.js جایگزین میکند (اشتباه تایپی از عملگر است). ساختار سهگانه در package.json بدون تغییر باقی میماند؛ این بسته همان نام، دامنه و الگوی version-bump را حفظ میکند. از بیرون، axois-utils:1.0.9 شبیه یک دنباله جزئی از 1.0.6 به نظر میرسد. در داخل، یک خانواده بدافزار متفاوت است.
دیستروبی.js با یک بلوک پیکربندی باز میشود که نام تجاری خود اپراتور را مشخص میکند:
// axois-utils-1.0.9/distrube.js:11-15 |
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally) |
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel |
const C2_PORT = 443; // HTTPS port - tunnel handles SSL |
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`; |
این نظرات خطاب به اپراتوری است که قرار است کیت را اجرا کند ("از آدرس HTTPS مربوط به localhost.run خود استفاده کنید"). این موضوع، به علاوهی آنچه که در کنار کلاینت ربات ارسال میشود، نشان میدهد که این فقط یک محمولهی قربانی نیست - بلکه خود کیت است.
جریان:
- اصرار ابتدا اجرا میشود. اسکریپت خود را به سه روش مختلف در هر سیستم عامل (رجیستری) نصب میکند دویدن + پوشهی راهاندازی + شتاسکس در ویندوز؛ crontab + سرویس فانتوم-بات واحد systemd + .bashrc/zshrc اضافه کردن + /etc/rc.local در لینوکس؛ LaunchAgent com.phantom.bot.plist در macOS). نام سرویس پایداری و برچسب LaunchAgent هر دو ... هستند ربات فانتوم / com.phantom.bot، که نام کمپین نیز از آن گرفته شده است.
- اطلاعات سیستم exfil یک بار اجرا میشود - یک اثر انگشت تکمرحلهای POST به b94b6bcfa27554.lhr.life:443/collect که شامل نام میزبان، پلتفرم، arch، نام کاربری، CPU/RAM، رابطهای شبکه، process.env، cwd، homedir، نسخه گره و IP عمومی است. این مرحله بسیار کمتهاجمیتر از مرحله A است: بدون SSH، بدون کیف پول، بدون بازگشت .env. وظیفه ربات ثبتنام است، نه سرقت.
- حلقه ضربان قلب هر 30 ثانیه یک HTTPS POST به آدرس b94b6bcfa27554.lhr.life:443/ باز میکند. عامل کاربری PhantomBot/1.0 است. تأیید TLS به صراحت غیرفعال است (rejectUnauthorized: false). پاسخ C2 به صورت JSON از فرم {type, target, port, duration, threads, method} تجزیه و ارسال میشود.
- زرادخانه سیل به شش فرمان متصل است:
| نوع فرمان | ماژول ها | یادداشت |
|---|---|---|
| پینگ | پاسخ زنده بودن | ربات خودش را شناسایی میکند |
| HTTP | سیل HTTP | سیل درخواستهای لایه ۷ |
| HTTPS | سیل HTTPS | همانند http، با TLS-wrapped |
| tcp | سیل TCP | هرزنامه با حجم تصادفی ۶۵ کیلوبایت |
| udp | سیل UDP | بستههای UDP با طول ۶۵,۵۰۷ بایت |
| سریع | تنظیم مجدد سریع DoS در HTTP/2 | تکنیک ۲۰۲۳ CVE-2023-44487 |
هر پنج ماژول سیلآسا هدف, بندر, مدتو موضوعات استدلال - این ربات یک سیلزنندهی عمومی و اجارهای است که قربانی خاصی را هدف قرار نمیدهد. فهرست قربانیان اپراتور در C2 قرار دارد، نه در بسته.
چه خبر - فایل باینری C2 ارسال شده
مرحله A شکل آشنایی دارد: سرقت اطلاعات احراز هویت، قلاب نصب، C2 تونلشده توسط فروشنده. مرحله B ... همچنین یک شکل آشنا - باتنتهای DDoS سالهاست که جزء ثابت بستههای مخرب npm بودهاند. نکته غیرمعمول این است که اپراتور سمت سرور از کیت داخل فایل فشرده npm:
- c2 — یک فایل باینری Go ELF کامپایل شده به حجم ۴ مگابایت
- c2.go — منبع ۴۲۶ خطی Go برای آن فایل باینری
هیچکدام از این فایلها توسط هیچ قلاب نصبی فراخوانی نمیشوند. آنها بخشی از payload قربانی نیستند. آنها در دایرکتوری بسته قرار دارند، درست مانند یک فایل مستندات. محتملترین برداشت این است که اپراتور، درخت کاری توسعه خود را بدون تنظیم لیست فایلها به npm منتقل کرده است - یک گزارش OpSec واقعی - و آنچه ارسال شده، کیت کامل دو طرفه است: کلاینتی که قربانی اجرا میکند و سروری که اپراتور اجرا میکند.
این بخشی از داستان است که طرح «کیت باتنت آماده به کار» را توجیه میکند. هر کسی که این نرمافزار را دانلود کرده باشد axois-utils:1.0.9 قبل از حذف، نه تنها یک نمونه قربانی وجود دارد، بلکه یک سرور C2 فعال نیز وجود دارد.
محور، در یک جمله
همان ناشر، همان نام بستهها، همان داربست سهقلاب، همان برند «فانتوم» - اما این بدافزار مدل کسب درآمد را یک شبه تغییر داداز «اسرار برداشتی که میتوانم دوباره بفروشم» تا «ظرفیت سیلآسایی که میتوانم اجاره کنم». TTP های زمان نصب که مدافعان باید مراقب آنها باشند تقریباً در هر دو مرحله یکسان هستند؛ دفاعهای مبتنی بر امضا که با رشتههای مسیر کیف پول مرحله A یا به فانتوم.jsجمعکنندهی ۷۶۶۷ خطیِ [دستگاه]، فاز B را به طور کامل از دست میداد.
| تاریخ (UTC) | واقعه |
|---|---|
| 2026-05-15 | اولین انتشار: axois-utils:1.0.4 (ساخت آزمایشی شبکه محلی، دستگاه توسعه در 192.168.129.19) |
| 2026-05-15 | axois-utils:1.0.6 منتشر شده — فاز A C2 به 80.200.28.28 از طریق تونل Serveo؛ نظر منبع // Change to '80.200.28.28' for public مبادلهی dev→prod را تأیید میکند |
| 2026-05-16 | chalk-tempalte:1.0.14 و 1.0.16 منتشر شده - لودر زنجیر شده اعلام میکند axois-utils:^1.0.7 به عنوان یک وابستگی زمان اجرا؛ زیر دامنه Serveo چرخانده شد |
| 2026-05-16 | کمپین فاز A طی اسکن روتین npm کشف شد؛ احکام مخرب تایید شده اعمال شد |
| 2026-05-17 | axois-utils:1.0.9 منتشر شده - محور بار داده: جذب PhantomBot DDoS از طریق تونل localhost.run؛ سمت اپراتور c2 دودویی و c2.go منبع در فایل فشرده (tarball) ارسال شده است |
| 2026-05-17 | chalk-tempalte:1.0.19 و 1.0.20 منتشر شده - هنوز فاز A (دزدی)؛ اپراتور اکنون هر دو ماژول را به صورت موازی اجرا میکند. |
| 2026-05-17 | کشف فاز B در طول اسکن روتین؛ احکام در همه موارد اعمال شد 2026-05-17 نسخه |
| (در دست اقدام) | گزارشهای حذف در حال بررسی است؛ هر چهار بسته منتشر شده در زمان نگارش این مطلب در رجیستری موجود هستند. |
شاخص های سازش
بسته
| اکوسیستم | بسته | نسخه |
|---|---|---|
| npm | axois-utils (اشتباه تایپی در axios) | 1.0.4, 1.0.6, 1.0.9 |
| npm | chalk-tempalte (اشتباه تایپی در قالب گچی) | 1.0.14, 1.0.16, 1.0.19, 1.0.20 |
هویت نویسنده
| میدان | مقدار |
|---|---|
| ناشر npm | deadcode09284814 |
| ایمیل ناشر | phantomdeadcode@tutamail.com |
| SCM تایید | هیچ |
فرماندهی و کنترل
| فاز | نقطه پایانی | حمل و نقل |
|---|---|---|
| A | f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect | تونل HTTPS Serveo |
| A | 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect | تونل Serveo HTTPS (نسخه قبلی) |
| A | 80.200.28.28:443/collect | نقطه پایانی VPS زیربنایی |
| B | b94b6bcfa27554.lhr.life:443/ | localhost.run تونل معکوس HTTPS |
خلاصهسازی فایل (SHA-256)
| پرونده | SHA-256 | یادداشت |
|---|---|---|
c2 (برو ELF، ۴ مگابایت) | 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 | سرور C2 سمت اپراتور، که به داخل ارسال شده است axois-utils:1.0.9 |
c2.go (۴۲۶ خط) | 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 | برای فایل باینری C2 به منبع بروید |
distrube.js | 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 | کلاینت ربات فاز B |
phantom.js (chalk-tempalte:1.0.19) | 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 | مرحله A: جمعآوری اطلاعات احراز هویت / کیف پول |
phantom.js (chalk-tempalte:1.0.20) | d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 | کلکتور فاز A (نسخه ۱.۰.۲۰) |
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) | ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 | لودر فاز A، بایتهای یکسان در هر دو نسخه |
انتساب و انگیزه
ما این کمپین را به عنوان فانتوم بات، با گرفتن نام تجاری خود اپراتور از عامل کاربر: PhantomBot/1.0 هدر ضربان قلب، سرویس فانتوم-بات واحد systemd، com.phantom.bot برچسب LaunchAgent، و فانتوم ددکد@ شناسه ایمیل. اپراتور در مورد این نام در حداقل چهار مصنوعات سازگار است.
کاتالوگ سیگنالها
- ناشر - کد فعال سازی: 09284814 روی npm. حساب کاربری تککاربره، ایمیل یکبار مصرف Tutamail، خیر SCM تأیید. هیچ سابقه انتشار قبلی فراتر از این کمپین وجود ندارد.
- استفاده مجدد از برند — عبارت «phantom» در ایمیل ناشر، در نام فایل جمعآوریکننده فاز A () ظاهر میشود.فانتوم.js)، در نام سرویس پایداری فاز B (سرویس فانتوم-بات)، در برچسب LaunchAgent (com.phantom.bot) و در ربات User-Agent (فانتومبات/۱.۰).
- شالوده — یک VPS واحد در 80.200.28.28 جبههها فاز A را از طریق چرخش زیردامنه Serveo؛ فاز B به a منتقل میشود localhost.run تونل معکوس (b94b6bcfa27554.lhr.lifeهر دو سرویس فروشنده رایگان هستند و فقط به SSH خروجی از طرف اپراتور نیاز دارند، که با تنظیمات کمبودجه و کمOpSec سازگار است.
- سبک کد — جاوا اسکریپت ساده در سراسر برنامه؛ بدون ابهامسازی، بدون کدگذاری رشته، بدون بررسیهای ضد ماشین مجازی. نام متغیرها توصیفی هستند (اطلاعات سیستم را بدزدید, دستور اجرا, httpسیل). نظرات در دیستروبی.js مستقیماً به یک عملگر آینده ("از آدرس HTTPS محلی localhost.run خود استفاده کنید") اشاره میکند، که نشان میدهد این فایل قرار بوده به عنوان یک کیت توزیع مجدد شود، نه توسط یک مهاجم واحد.
- لغزش OpSec — فایل فشرده فاز B هم کلاینت ربات و هم سرور C2 سمت اپراتور را ارسال میکند (c2 الف + c2.go منبع). این با اپراتوری که درخت کاری خود را بدون بررسی لیست فایلها به npm ارسال کرده است، سازگار است. یا اپراتور بیتجربه است، یا کیت ... به معنای به صورت عمومی توزیع شود و فایل باینری C2 بخشی از محصول باشد.
- خود-تاییدی - axois-utils:1.0.4 شامل نظر منبع است // برای عموم به '80.200.28.28' تغییر دهید در خط ۱۲، پیشرفت توسعه/مرحلهبندی/تولید را که اپراتورها معمولاً انکار میکنند، تأیید میکند.
انگیزه
محمولهی مرحلهی A، سرقت مالی سرراست است: اعتبارنامهها، کلیدهای ابری، توکنهای گیتهاب و کیفپولهای ارز دیجیتال، همگی بازارهای فروش مجدد نقدشوندهای دارند. مرحلهی B نیز مالی است، اما غیرمستقیم: سرویسهای اجارهای DDoS ("booter") ظرفیت سیلآسایی را دقیقه به دقیقه اجاره میکنند و رباتهایی مانند آنچه در اینجا ارسال شده، موجودی هستند که این سرویسها روی آن اجرا میشوند. ضربان قلب 30 ثانیهای، عمومی هدف/بندر/مدت طرحواره فرمان، و زرادخانه سیل پنج پروتکلی عبارتند از standard محصول یک اپراتور بوت کننده.
اجرای موازی هر دو ماژول — الگوی گچی: ۱.۰.۱۴ و 1.0.20 در حالی که به ارسال دزدگیر ادامه میدهید axois-utils:1.0.9 ارسال ربات - نشان میدهد که اپراتور به جای رها کردن فاز A، در حال پوشش جریانهای درآمدی است. چرخش یک ... اضافه، نه یک جایگزین.
چیزی که ما ادعا نمیکنیم
ما نتوانستهایم هویت واقعی پشت این [پرونده/پرونده/...] را تأیید کنیم. کد فعال سازی: 09284814 و ما این کمپین را به هیچ عامل تهدید، گروه یا کشور مشخصی نسبت نمیدهیم. نام تجاری «شبح» به اندازه کافی در بین مصنوعات سازگار است که نشان دهنده یک اپراتور واحد باشد، اما ارسال به سبک کیت باینری C2 این احتمال را ایجاد میکند که بستههای آینده از دستههای نامرتبط، از همان کد استفاده مجدد کنند.
تأثیر، روندها و آنچه مدافعان باید انجام دهند
تأثیر
اهداف مشروع اسکات آکسیوس و قالب گچی به طور گسترده در اکوسیستم جاوا اسکریپت مورد استفاده قرار میگیرند؛ آکسیوس به تنهایی در بین سی بسته npm با بیشترین دانلود قرار دارد. نامهای typosquat با نامهای واقعی فقط یک ضربه کلید فاصله دارند (آکوس ↔ آکسیوس, قالب ↔ قالب) و هر دو از نظر زبانشناسی غلط املایی قابل قبولی هستند.
ما نتوانستیم آمار دانلود قابل اعتمادی برای نسخههای مخرب قبل از حذف آنها به دست آوریم - npm تعداد دانلودهای هر نسخه را پس از انتشار بسته حفظ نمیکند، و npms.ioپروکسیهای به سبک - در این مقیاس نویز دارند. هر سازمانی که فایل قفل آن به بستهای به نام ابزارهای اکسویس or الگوی گچی از ناشر کد فعال سازی: 09284814 باید به عنوان یک مورد به خطر افتاده تلقی شود: هر اعتبارنامه موجود را بچرخانید فرآیند.env روی میزبان آسیبدیده، بردارهای پایداری را به ازای هر سیستمعامل بررسی کنید (به «آنچه مدافعان باید انجام دهند» در زیر مراجعه کنید) و وابستگی را حذف کنید.
الگوهای نوظهور
این کمپین نمونهای از تغییری است که در چندین حادثه اخیر npm دیدهایم: داربست قلابدارِ نصبشده، دارایی بادوامی استبار مفید قابل تعویض استهمان ناشر، همان بستهبندی، همان پیش نصب / نصب / نصب پس از نصب سه برابر، و حتی همان آهنگ افزایش نسخه - تنها چیزی که بین axois-utils:1.0.6 و axois-utils:1.0.9 فایل بود hooks اجرا. تشخیص مبتنی بر امضا که با بار داده فاز A (رشتههای مسیر کیف پول، فانتوم.js(گردآورنده ۷۶۶۷ خطیِ Serveo C2، میزبان) سه نسخه اول را علامتگذاری میکرد و فاز B را به طور کامل از دست میداد.
همین الگو در سایر کمپینهای ۲۰۲۶ که ما ردیابی کردهایم نیز قابل مشاهده است: یک اپراتور واحد با یک چارچوب پایدار، که بین سرقت اعتبارنامه، کلاینتهای تقلب در امتحان، exfil بات تلگرام و اکنون استخدام DDoS در حال جابجایی است. مدافعانی که به امضاهای payload متکی هستند، دور دوم هر کمپین را از دست خواهند داد.
نتیجه فرعی این است که TTP های زمان نصب سیگنال بهتری هستنداعلانهای سهگانه نصب-قلاب، اسکریپتهایی را که وارد میکنند نصب کنید HTTPS or فرآیند_فرزند، اسکریپتهایی را نصب کنید که در پوشههای راهاندازی کاربر مینویسند، و اسکریپتهایی را نصب کنید که نامهای میزبان را در سرویسهای تونل معکوس رایگان (Serveo، localhost.run، ngrok، cloudflared) همگی در بستههای قانونی نادر و در بستههای مخرب رایج هستند.
کاری که مدافعان باید انجام دهند
- حسابرسی قفل فایل. جستجو در هر pack-lock.json / نخ.لاک / قفل pnpm.yaml در سازمان شما برای رشتههای دقیق ابزارهای اکسویس و الگوی گچیهر مسابقهای را به عنوان یک مصالحه در نظر بگیرید.
- چرخش اسرار روی میزبانهای آسیبدیده. مرحله A: جمعآوری انبوه اطلاعات احراز هویت SSH، فضای ابری، گیتهاب، npm و کیف پول. فرض کنید هر اطلاعات احراز هویتی که تا به حال در ... وجود داشته است. فرآیند.env, / .ssh, ~/.aws, ~/.npmrc, ~ / .config، یا هر .env* فایل روی میزبان آسیبدیده در معرض خطر قرار گرفته است.
- حذف پایداری (مرحله B). در ویندوز، حذف کنید HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SystemUpdate، برداشتن %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\system-update.batو schtasks /delete /tn SystemUpdate /fدر لینوکس، crontab -e با و حذف کنید @reboot گره …, systemctl – غیرفعال کردن کاربر – اکنون phantom-bot.service سپس حذف کنید ~/.config/systemd/user/phantom-bot.service، اسکراب .bashrc / zshrc / /etc/rc.localدر macOS، launchctl تخلیه ~/Library/LaunchAgents/com.phantom.bot.plist سپس plist را حذف کنید.
- میزبانهای C2 را مسدود کنید. چهار نقطه پایانی C2 را در جدول IOC به لیست مسدودیتهای خروجی خود اضافه کنید. *.serveusercontent.com و *.lhr.life اگر محیط شما هیچ کاربرد مشروعی برای سرویسهای تونل معکوس نداشته باشد، میتواند به طور کلی مسدود شود.
- جستجو بر اساس TTP زمان نصب، نه بار مفید. ورودیهای قفل فایل موجودی که pack.json اعلام پیش نصب, نصبو نصب پس از نصب همه به یک اسکریپت اشاره میکنند. سن بسته و وضعیت تأیید ناشر را بررسی کنید. این الگو در بستههای قانونی نادر است و تنها سیگنال قابل اعتمادی است که PhantomBot دوباره از آن استفاده میکند.
- حسابرسی برای فایل باینری C2. هر کی دانلود کرد axois-utils:1.0.9 سرور C2 اپراتور را دارد (c2 الف، sha256 ۱۶۵fa۹۲d…) روی دیسک. حافظههای پنهان و انبارهای مصنوعات CI را اسکن کنید. فایل باینری به خودی خود غیرفعال است، اما وجود آن در یک ایستگاه کاری، مدرکی قطعی مبنی بر نصب بسته است.
پایان معامله
همان اپراتور، همان بسته و همان قلاب نصب میتوانند در عرض ۴۸ ساعت تهدیدات کاملاً متفاوتی را ایجاد کنند. مراقب داربست باشید، نه بار داده.




