PhantomBot از سرقت اطلاعات کاربری تا بات‌نت

PhantomBot: یک کمپین تایپواسکات که از سرقت اعتبارنامه به یک کیت بات‌نت آماده به کار تغییر مسیر داد

TL؛ DR

یک ناشر npm واحد، deadcode09284814، یک کمپین غلط املایی علیه مشروع به راه انداخته است axios و chalk-template بسته‌ها از اواسط ماه مه 2026.

این کمپین به عنوان یک دزد اطلاعات حساب و کیف پول معمولی آغاز شد و داده‌ها را به ... منتقل می‌کرد. تونل HTTPS Serveo.

On 2026-05-17، با axois-utils:1.0.9، اپراتور کل محتوای مخرب را تغییر داد: همان داربست سه‌گانه نصب-قلاب، همان ناشر، همان نام بسته.

اما اسکریپت نصب اکنون به یک بات‌نت DDoS چندسکویی تبدیل شده است.

محموله با یک localhost.run تونل می‌زند و دستورات سیل‌آسا را ​​می‌پذیرد و محیط‌های آلوده را به بخشی از یک بات‌نت با قابلیت DDoS تبدیل می‌کند.

اپراتور حتی ارسال کرد باینری سرور C2 درون فایل فشرده (tarball)، که نشان‌دهنده‌ی افزایش آشکار از سرقت اطلاعات کاربری به زیرساخت فعال بات‌نت است.

دو بسته، چهار نسخه هنوز در رجیستری فعال هستند و یک اپراتور اکنون هر دو ماژول را به صورت موازی اجرا می‌کند.

شدت: زیاد.

تیتر IOC هر نسخه axois-utils یا chalk-tempalte از ناشر deadcode09284814

حمله: چگونه کار می‌کند

این کمپین بر روی یک چارچوب تحویل عمداً خسته‌کننده ساخته شده است: دو نام بسته با غلط املایی، یک حرف متفاوت از بسته‌هایی با صدها میلیون دانلود هفتگی (آکسیوس, قالب گچی) و نصب سه‌گانه hooks که اجرا را تضمین می‌کند. نکته جالب این است که داربست چیست حمل می کند - و این واقعیت که اپراتور محموله را بدون تغییر هیچ چیز دیگری تغییر داده است.

داربست مشترک

هر نسخه منتشر شده از هر دو بسته، سه چرخه حیات یکسان را اعلام می‌کند. hooks in pack.json:

"scripts": {    "preinstall":  "node <payload>.js",    "install":     "node <payload>.js",    "postinstall": "node <payload>.js"  } 

فهرست کردن محموله تحت هر سه مورد hooks زیاده‌روی است - نصب پس از نصب alone به صورت پیش‌فرض اجرا می‌شود نصب npmانتخاب مهم است: نصب npm –ignore-scripts اسکریپت‌ها را رد می‌کند، اما چندین گردش کار رایج (حافظه پنهان CI آن چرخه حیات را دوباره اجرا می‌کند) را بازیابی می‌کند. hooks به صورت گزینشی، یا توسعه‌دهندگانی که فقط حسابرسی می‌کنند نصب پس از نصب) یک اعلان سه‌گانه اضافی را امن‌ترین شرط برای مهاجم قرار دهید.

الگوی گچی مکانیسم دومی اضافه می‌کند: اعلام می‌کند axois-utils:^1.0.7 به عنوان زمان اجرا وابستگینصب typosquatted قالب گچی بنابراین، typosquat خواهرخوانده را نیز جذب می‌کند و هر دو payload اجرا می‌شوند. این دو بسته یک جفت هماهنگ هستند، نه فهرست‌های مستقل.

مرحله الف - سارق اطلاعات هویتی/کیف پول (۱۵-۰۵-۲۰۲۶ → تاکنون)

فاز A محموله اصلی است. لودر یک وسیله نقلیه کوتاه مدت است. postinstall.js که به یک تونل معکوس Serveo HTTPS اشاره می‌کند:

// chalk-tempalte/postinstall.js:11-13  const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com";  const C2_PORT = 443;  const C2_PATH = '/collect'; 

زیر دامنه Serveo، IP مقصد را کدگذاری می‌کند (80.200.28.28) مستقیماً در نام میزبان - یک قرارداد قابل تشخیص برای آن سرویس. اپراتور پیشوند زیر دامنه تصادفی را بین نسخه‌ها می‌چرخاند تا از لیست‌های مسدود شده دامنه ساده جلوگیری کند، اما IP اصلی هرگز تغییر نمی‌کند. (الگوی گچی: ۱.۰.۱۴ استفاده 8a3e818ea8f11186-80-200-28-28…استفاده از نسخه‌های ۱.۰.۱۶ / ۱.۰.۱۹ / ۱.۰.۲۰ f04a273bd84c0622-….)

postinstall.js دست از کار کشیدن به فانتوم.js، یک ماژول «جمع‌کننده» ۷۶۶۷ خطی. فانتوم.js میزبان را برای موارد زیر همراهی می‌کند:

کلیدهای خصوصی SSH (~/.ssh/*)
.npmrc محتویات و هرگونه npm_* توکن‌های env
فایل‌های اعتبارنامه‌های AWS، GCP و Azure
عبارت منظمِ توکنِ دسترسی شخصی در گیت‌هاب (ghp_*, gho_*, ghu_*, ghs_*)
مصنوعات کیف پول رمزنگاری برای بیت کوین، اکسودوس، الکتروم، مونرو، لایت کوین، دوج کوین، زی کش، دش
یک بازگشتی .env* قدم زدن ~/projects, ~/dev, ~/code, ~/workspaceو نصب cwd
تاریخچه شل و اطلاعات کامل process.env

بسته نرم افزاری به تونل Serveo در ارسال می شود /جمع آوریهیچ ابهام‌سازی، هیچ منطق ضد ماشین مجازی و هیچ مرحله‌بندی وجود ندارد - شرط اپراتور روی حجم و سرعت است.

مرحله ب - جذب PhantomBot DDoS (2026-05-17، فقط axois-utils:1.0.9)

مرحله ب، فایل‌های phantom.js + postinstall.js را با یک فایل واحد به نام distrube.js جایگزین می‌کند (اشتباه تایپی از عملگر است). ساختار سه‌گانه در package.json بدون تغییر باقی می‌ماند؛ این بسته همان نام، دامنه و الگوی version-bump را حفظ می‌کند. از بیرون، axois-utils:1.0.9 شبیه یک دنباله جزئی از 1.0.6 به نظر می‌رسد. در داخل، یک خانواده بدافزار متفاوت است.

دیستروبی.js با یک بلوک پیکربندی باز می‌شود که نام تجاری خود اپراتور را مشخص می‌کند:

// axois-utils-1.0.9/distrube.js:11-15
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally)
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel
const C2_PORT = 443; // HTTPS port - tunnel handles SSL
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`;

این نظرات خطاب به اپراتوری است که قرار است کیت را اجرا کند ("از آدرس HTTPS مربوط به localhost.run خود استفاده کنید"). این موضوع، به علاوه‌ی آنچه که در کنار کلاینت ربات ارسال می‌شود، نشان می‌دهد که این فقط یک محموله‌ی قربانی نیست - بلکه خود کیت است.

جریان:

  1. اصرار ابتدا اجرا می‌شود. اسکریپت خود را به سه روش مختلف در هر سیستم عامل (رجیستری) نصب می‌کند دویدن + پوشه‌ی راه‌اندازی + شتاسکس در ویندوز؛ crontab + سرویس فانتوم-بات واحد systemd + .bashrc/zshrc اضافه کردن + /etc/rc.local در لینوکس؛ LaunchAgent com.phantom.bot.plist در macOS). نام سرویس پایداری و برچسب LaunchAgent هر دو ... هستند ربات فانتوم / com.phantom.bot، که نام کمپین نیز از آن گرفته شده است.
  2. اطلاعات سیستم exfil یک بار اجرا می‌شود - یک اثر انگشت تک‌مرحله‌ای POST به b94b6bcfa27554.lhr.life:443/collect که شامل نام میزبان، پلتفرم، arch، نام کاربری، CPU/RAM، رابط‌های شبکه، process.env، cwd، homedir، نسخه گره و IP عمومی است. این مرحله بسیار کم‌تهاجمی‌تر از مرحله A است: بدون SSH، بدون کیف پول، بدون بازگشت .env. وظیفه ربات ثبت‌نام است، نه سرقت.
  3. حلقه ضربان قلب هر 30 ثانیه یک HTTPS POST به آدرس b94b6bcfa27554.lhr.life:443/ باز می‌کند. عامل کاربری PhantomBot/1.0 است. تأیید TLS به صراحت غیرفعال است (rejectUnauthorized: false). پاسخ C2 به صورت JSON از فرم {type, target, port, duration, threads, method} تجزیه و ارسال می‌شود.
  4. زرادخانه سیل به شش فرمان متصل است:
نوع فرمان ماژول ها یادداشت
پینگ پاسخ زنده بودن ربات خودش را شناسایی می‌کند
HTTP سیل HTTP سیل درخواست‌های لایه ۷
HTTPS سیل HTTPS همانند http، با TLS-wrapped
tcp سیل TCP هرزنامه با حجم تصادفی ۶۵ کیلوبایت
udp سیل UDP بسته‌های UDP با طول ۶۵,۵۰۷ بایت
سریع تنظیم مجدد سریع DoS در HTTP/2 تکنیک ۲۰۲۳ CVE-2023-44487

هر پنج ماژول سیل‌آسا هدف, بندر, مدتو موضوعات استدلال - این ربات یک سیل‌زننده‌ی عمومی و اجاره‌ای است که قربانی خاصی را هدف قرار نمی‌دهد. فهرست قربانیان اپراتور در C2 قرار دارد، نه در بسته.

چه خبر - فایل باینری C2 ارسال شده

مرحله A شکل آشنایی دارد: سرقت اطلاعات احراز هویت، قلاب نصب، C2 تونل‌شده توسط فروشنده. مرحله B ... همچنین یک شکل آشنا - بات‌نت‌های DDoS سال‌هاست که جزء ثابت بسته‌های مخرب npm بوده‌اند. نکته غیرمعمول این است که اپراتور سمت سرور از کیت داخل فایل فشرده npm:

  • c2 — یک فایل باینری Go ELF کامپایل شده به حجم ۴ مگابایت
  • c2.go — منبع ۴۲۶ خطی Go برای آن فایل باینری

هیچ‌کدام از این فایل‌ها توسط هیچ قلاب نصبی فراخوانی نمی‌شوند. آن‌ها بخشی از payload قربانی نیستند. آن‌ها در دایرکتوری بسته قرار دارند، درست مانند یک فایل مستندات. محتمل‌ترین برداشت این است که اپراتور، درخت کاری توسعه خود را بدون تنظیم لیست فایل‌ها به npm منتقل کرده است - یک گزارش OpSec واقعی - و آنچه ارسال شده، کیت کامل دو طرفه است: کلاینتی که قربانی اجرا می‌کند و سروری که اپراتور اجرا می‌کند.

این بخشی از داستان است که طرح «کیت بات‌نت آماده به کار» را توجیه می‌کند. هر کسی که این نرم‌افزار را دانلود کرده باشد axois-utils:1.0.9 قبل از حذف، نه تنها یک نمونه قربانی وجود دارد، بلکه یک سرور C2 فعال نیز وجود دارد.

محور، در یک جمله

همان ناشر، همان نام بسته‌ها، همان داربست سه‌قلاب، همان برند «فانتوم» - اما این بدافزار مدل کسب درآمد را یک شبه تغییر داداز «اسرار برداشتی که می‌توانم دوباره بفروشم» تا «ظرفیت سیل‌آسایی که می‌توانم اجاره کنم». TTP های زمان نصب که مدافعان باید مراقب آنها باشند تقریباً در هر دو مرحله یکسان هستند؛ دفاع‌های مبتنی بر امضا که با رشته‌های مسیر کیف پول مرحله A یا به فانتوم.jsجمع‌کننده‌ی ۷۶۶۷ خطیِ [دستگاه]، فاز B را به طور کامل از دست می‌داد.

تاریخ (UTC) واقعه
2026-05-15 اولین انتشار: axois-utils:1.0.4 (ساخت آزمایشی شبکه محلی، دستگاه توسعه در 192.168.129.19)
2026-05-15 axois-utils:1.0.6 منتشر شده — فاز A C2 به 80.200.28.28 از طریق تونل Serveo؛ نظر منبع // Change to '80.200.28.28' for public مبادله‌ی dev→prod را تأیید می‌کند
2026-05-16 chalk-tempalte:1.0.14 و 1.0.16 منتشر شده - لودر زنجیر شده اعلام می‌کند axois-utils:^1.0.7 به عنوان یک وابستگی زمان اجرا؛ زیر دامنه Serveo چرخانده شد
2026-05-16 کمپین فاز A طی اسکن روتین npm کشف شد؛ احکام مخرب تایید شده اعمال شد
2026-05-17 axois-utils:1.0.9 منتشر شده - محور بار داده: جذب PhantomBot DDoS از طریق تونل localhost.run؛ سمت اپراتور c2 دودویی و c2.go منبع در فایل فشرده (tarball) ارسال شده است
2026-05-17 chalk-tempalte:1.0.19 و 1.0.20 منتشر شده - هنوز فاز A (دزدی)؛ اپراتور اکنون هر دو ماژول را به صورت موازی اجرا می‌کند.
2026-05-17 کشف فاز B در طول اسکن روتین؛ احکام در همه موارد اعمال شد 2026-05-17 نسخه
(در دست اقدام) گزارش‌های حذف در حال بررسی است؛ هر چهار بسته منتشر شده در زمان نگارش این مطلب در رجیستری موجود هستند.

شاخص های سازش

بسته

اکوسیستم بسته نسخه
npm axois-utils (اشتباه تایپی در axios) 1.0.4, 1.0.6, 1.0.9
npm chalk-tempalte (اشتباه تایپی در قالب گچی) 1.0.14, 1.0.16, 1.0.19, 1.0.20

هویت نویسنده

میدان مقدار
ناشر npm deadcode09284814
ایمیل ناشر phantomdeadcode@tutamail.com
SCM تایید هیچ

فرماندهی و کنترل

فاز نقطه پایانی حمل و نقل
A f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect تونل HTTPS Serveo
A 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect تونل Serveo HTTPS (نسخه قبلی)
A 80.200.28.28:443/collect نقطه پایانی VPS زیربنایی
B b94b6bcfa27554.lhr.life:443/ localhost.run تونل معکوس HTTPS

خلاصه‌سازی فایل (SHA-256)

پرونده SHA-256 یادداشت
c2 (برو ELF، ۴ مگابایت) 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 سرور C2 سمت اپراتور، که به داخل ارسال شده است axois-utils:1.0.9
c2.go (۴۲۶ خط) 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 برای فایل باینری C2 به منبع بروید
distrube.js 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 کلاینت ربات فاز B
phantom.js (chalk-tempalte:1.0.19) 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 مرحله A: جمع‌آوری اطلاعات احراز هویت / کیف پول
phantom.js (chalk-tempalte:1.0.20) d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 کلکتور فاز A (نسخه ۱.۰.۲۰)
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 لودر فاز A، بایت‌های یکسان در هر دو نسخه

انتساب و انگیزه

ما این کمپین را به عنوان فانتوم بات، با گرفتن نام تجاری خود اپراتور از عامل کاربر: PhantomBot/1.0 هدر ضربان قلب، سرویس فانتوم-بات واحد systemd، com.phantom.bot برچسب LaunchAgent، و فانتوم ددکد@ شناسه ایمیل. اپراتور در مورد این نام در حداقل چهار مصنوعات سازگار است.

کاتالوگ سیگنال‌ها

  • ناشر - کد فعال سازی: 09284814 روی npm. حساب کاربری تک‌کاربره، ایمیل یکبار مصرف Tutamail، خیر SCM تأیید. هیچ سابقه انتشار قبلی فراتر از این کمپین وجود ندارد.
  • استفاده مجدد از برند — عبارت «phantom» در ایمیل ناشر، در نام فایل جمع‌آوری‌کننده فاز A () ظاهر می‌شود.فانتوم.js)، در نام سرویس پایداری فاز B (سرویس فانتوم-بات)، در برچسب LaunchAgent (com.phantom.bot) و در ربات User-Agent (فانتوم‌بات/۱.۰).
  • شالوده — یک VPS واحد در 80.200.28.28 جبهه‌ها فاز A را از طریق چرخش زیردامنه Serveo؛ فاز B به a منتقل می‌شود localhost.run تونل معکوس (b94b6bcfa27554.lhr.lifeهر دو سرویس فروشنده رایگان هستند و فقط به SSH خروجی از طرف اپراتور نیاز دارند، که با تنظیمات کم‌بودجه و کم‌OpSec سازگار است.
  • سبک کد — جاوا اسکریپت ساده در سراسر برنامه؛ بدون ابهام‌سازی، بدون کدگذاری رشته، بدون بررسی‌های ضد ماشین مجازی. نام متغیرها توصیفی هستند (اطلاعات سیستم را بدزدید, دستور اجرا, httpسیل). نظرات در دیستروبی.js مستقیماً به یک عملگر آینده ("از آدرس HTTPS محلی localhost.run خود استفاده کنید") اشاره می‌کند، که نشان می‌دهد این فایل قرار بوده به عنوان یک کیت توزیع مجدد شود، نه توسط یک مهاجم واحد.
  • لغزش OpSec — فایل فشرده فاز B هم کلاینت ربات و هم سرور C2 سمت اپراتور را ارسال می‌کند (c2 الف + c2.go منبع). این با اپراتوری که درخت کاری خود را بدون بررسی لیست فایل‌ها به npm ارسال کرده است، سازگار است. یا اپراتور بی‌تجربه است، یا کیت ... به معنای به صورت عمومی توزیع شود و فایل باینری C2 بخشی از محصول باشد.
  • خود-تاییدی - axois-utils:1.0.4 شامل نظر منبع است // برای عموم به '80.200.28.28' تغییر دهید در خط ۱۲، پیشرفت توسعه/مرحله‌بندی/تولید را که اپراتورها معمولاً انکار می‌کنند، تأیید می‌کند.

انگیزه

محموله‌ی مرحله‌ی A، سرقت مالی سرراست است: اعتبارنامه‌ها، کلیدهای ابری، توکن‌های گیت‌هاب و کیف‌پول‌های ارز دیجیتال، همگی بازارهای فروش مجدد نقدشونده‌ای دارند. مرحله‌ی B نیز مالی است، اما غیرمستقیم: سرویس‌های اجاره‌ای DDoS ("booter") ظرفیت سیل‌آسایی را دقیقه به دقیقه اجاره می‌کنند و ربات‌هایی مانند آنچه در اینجا ارسال شده، موجودی هستند که این سرویس‌ها روی آن اجرا می‌شوند. ضربان قلب 30 ثانیه‌ای، عمومی هدف/بندر/مدت طرحواره فرمان، و زرادخانه سیل پنج پروتکلی عبارتند از standard محصول یک اپراتور بوت کننده.

اجرای موازی هر دو ماژول — الگوی گچی: ۱.۰.۱۴ و 1.0.20 در حالی که به ارسال دزدگیر ادامه می‌دهید axois-utils:1.0.9 ارسال ربات - نشان می‌دهد که اپراتور به جای رها کردن فاز A، در حال پوشش جریان‌های درآمدی است. چرخش یک ... اضافه، نه یک جایگزین.

چیزی که ما ادعا نمی‌کنیم

ما نتوانسته‌ایم هویت واقعی پشت این [پرونده/پرونده/...] را تأیید کنیم. کد فعال سازی: 09284814 و ما این کمپین را به هیچ عامل تهدید، گروه یا کشور مشخصی نسبت نمی‌دهیم. نام تجاری «شبح» به اندازه کافی در بین مصنوعات سازگار است که نشان دهنده یک اپراتور واحد باشد، اما ارسال به سبک کیت باینری C2 این احتمال را ایجاد می‌کند که بسته‌های آینده از دسته‌های نامرتبط، از همان کد استفاده مجدد کنند.

تأثیر

اهداف مشروع اسکات آکسیوس و قالب گچی به طور گسترده در اکوسیستم جاوا اسکریپت مورد استفاده قرار می‌گیرند؛ آکسیوس به تنهایی در بین سی بسته npm با بیشترین دانلود قرار دارد. نام‌های typosquat با نام‌های واقعی فقط یک ضربه کلید فاصله دارند (آکوسآکسیوس, قالبقالب) و هر دو از نظر زبان‌شناسی غلط املایی قابل قبولی هستند.

ما نتوانستیم آمار دانلود قابل اعتمادی برای نسخه‌های مخرب قبل از حذف آنها به دست آوریم - npm تعداد دانلودهای هر نسخه را پس از انتشار بسته حفظ نمی‌کند، و npms.ioپروکسی‌های به سبک - در این مقیاس نویز دارند. هر سازمانی که فایل قفل آن به بسته‌ای به نام ابزارهای اکسویس or الگوی گچی از ناشر کد فعال سازی: 09284814 باید به عنوان یک مورد به خطر افتاده تلقی شود: هر اعتبارنامه موجود را بچرخانید فرآیند.env روی میزبان آسیب‌دیده، بردارهای پایداری را به ازای هر سیستم‌عامل بررسی کنید (به «آنچه مدافعان باید انجام دهند» در زیر مراجعه کنید) و وابستگی را حذف کنید.

الگوهای نوظهور

این کمپین نمونه‌ای از تغییری است که در چندین حادثه اخیر npm دیده‌ایم: داربست قلاب‌دارِ نصب‌شده، دارایی بادوامی استبار مفید قابل تعویض استهمان ناشر، همان بسته‌بندی، همان پیش نصب / نصب / نصب پس از نصب سه برابر، و حتی همان آهنگ افزایش نسخه - تنها چیزی که بین axois-utils:1.0.6 و axois-utils:1.0.9 فایل بود hooks اجرا. تشخیص مبتنی بر امضا که با بار داده فاز A (رشته‌های مسیر کیف پول، فانتوم.js(گردآورنده ۷۶۶۷ خطیِ Serveo C2، میزبان) سه نسخه اول را علامت‌گذاری می‌کرد و فاز B را به طور کامل از دست می‌داد.

همین الگو در سایر کمپین‌های ۲۰۲۶ که ما ردیابی کرده‌ایم نیز قابل مشاهده است: یک اپراتور واحد با یک چارچوب پایدار، که بین سرقت اعتبارنامه، کلاینت‌های تقلب در امتحان، exfil بات تلگرام و اکنون استخدام DDoS در حال جابجایی است. مدافعانی که به امضاهای payload متکی هستند، دور دوم هر کمپین را از دست خواهند داد.

نتیجه فرعی این است که TTP های زمان نصب سیگنال بهتری هستنداعلان‌های سه‌گانه نصب-قلاب، اسکریپت‌هایی را که وارد می‌کنند نصب کنید HTTPS or فرآیند_فرزند، اسکریپت‌هایی را نصب کنید که در پوشه‌های راه‌اندازی کاربر می‌نویسند، و اسکریپت‌هایی را نصب کنید که نام‌های میزبان را در سرویس‌های تونل معکوس رایگان (Serveo، localhost.run، ngrok، cloudflared) همگی در بسته‌های قانونی نادر و در بسته‌های مخرب رایج هستند.

کاری که مدافعان باید انجام دهند

  • حسابرسی قفل فایل. جستجو در هر pack-lock.json / نخ.لاک / قفل pnpm.yaml در سازمان شما برای رشته‌های دقیق ابزارهای اکسویس و الگوی گچیهر مسابقه‌ای را به عنوان یک مصالحه در نظر بگیرید.
  • چرخش اسرار روی میزبان‌های آسیب‌دیده. مرحله A: جمع‌آوری انبوه اطلاعات احراز هویت SSH، فضای ابری، گیت‌هاب، npm و کیف پول. فرض کنید هر اطلاعات احراز هویتی که تا به حال در ... وجود داشته است. فرآیند.env, / .ssh, ~/.aws, ~/.npmrc, ~ / .config، یا هر .env* فایل روی میزبان آسیب‌دیده در معرض خطر قرار گرفته است.
  • حذف پایداری (مرحله B). در ویندوز، حذف کنید HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SystemUpdate، برداشتن %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\system-update.batو schtasks /delete /tn SystemUpdate /fدر لینوکس، crontab -e با و حذف کنید @reboot گره …, systemctl – غیرفعال کردن کاربر – اکنون phantom-bot.service سپس حذف کنید ~/.config/systemd/user/phantom-bot.service، اسکراب .bashrc / zshrc / /etc/rc.localدر macOS، launchctl تخلیه ~/Library/LaunchAgents/com.phantom.bot.plist سپس plist را حذف کنید.
  • میزبان‌های C2 را مسدود کنید. چهار نقطه پایانی C2 را در جدول IOC به لیست مسدودیت‌های خروجی خود اضافه کنید. *.serveusercontent.com و *.lhr.life اگر محیط شما هیچ کاربرد مشروعی برای سرویس‌های تونل معکوس نداشته باشد، می‌تواند به طور کلی مسدود شود.
  • جستجو بر اساس TTP زمان نصب، نه بار مفید. ورودی‌های قفل فایل موجودی که pack.json اعلام پیش نصب, نصبو نصب پس از نصب همه به یک اسکریپت اشاره می‌کنند. سن بسته و وضعیت تأیید ناشر را بررسی کنید. این الگو در بسته‌های قانونی نادر است و تنها سیگنال قابل اعتمادی است که PhantomBot دوباره از آن استفاده می‌کند.
  • حسابرسی برای فایل باینری C2. هر کی دانلود کرد axois-utils:1.0.9 سرور C2 اپراتور را دارد (c2 الف، sha256 ۱۶۵fa۹۲d…) روی دیسک. حافظه‌های پنهان و انبارهای مصنوعات CI را اسکن کنید. فایل باینری به خودی خود غیرفعال است، اما وجود آن در یک ایستگاه کاری، مدرکی قطعی مبنی بر نصب بسته است.

پایان معامله

همان اپراتور، همان بسته و همان قلاب نصب می‌توانند در عرض ۴۸ ساعت تهدیدات کاملاً متفاوتی را ایجاد کنند. مراقب داربست باشید، نه بار داده.

ابزارهای-نرم‌افزاری-ترکیب-تحلیل-ترکیب-ابزارها
ریسک‌های نرم‌افزاری خود را اولویت‌بندی، اصلاح و ایمن‌سازی کنید
حساب کاربری رایگان خود را دریافت کنید.
بدون کارت اعتباری مورد نیاز است.

توسعه و تحویل نرم‌افزار خود را ایمن کنید

با مجموعه محصولات Xygeni