TL; DR
આશરે બે મહિના, લગભગ અપરિવર્તિત પેલોડ શિપિંગ કરતી વખતે પેકેજ નામોની ફરતી શ્રેણી હેઠળ એક જ npm ઇન્ફોસ્ટીલર ફરી સપાટી પર આવ્યું છે. તે ખુલ્લેઆમ શરૂ થયું કારણ કે forge-jsxy, ઉત્પન્ન થયેલ forge-jsx3 / forge-jsx4 ભાઈ-બહેનો, પછી ડેવલપર ઇન્ફ્રાસ્ટ્રક્ચર તરીકે પોતાને રજૂ કરવા માટે "ફોર્જ" બ્રાન્ડિંગને સંપૂર્ણપણે છોડી દીધું - પહેલા zredis-typed, અને સૌથી તાજેતરમાં pinokio-redis.
દરેક પ્રકાર ધરાવે છે સમાન આંતરિક ટૂલચેન: નામવાળી ફાઇલો forge-jsx-explorer-*એક relayPackageServe મોડ્યુલ જે સેવા આપે છે a forge-jsxy-package.tgz, અને એક ટકાઉ રનટાઇમ ડોટેડ ડિરેક્ટરી હેઠળ છુપાયેલ છે જેથી તે npm પેકેજ કાઢી નાખવામાં પણ ટકી રહે.
પેલોડ વાંચે છે ક્રિપ્ટોકરન્સી વોલેટ સામગ્રી અને હોસ્ટ પાસેથી ડેવલપર ઓળખપત્રો મેળવે છે અને તેમને ડિસ્કોર્ડ વેબ પર ટ્રાન્સમિટ કરે છેhooks, HuggingFace Hub અપલોડ્સ, અને હાર્ડકોડેડ C2 એન્ડપોઇન્ટ. તે OS-સ્તરનું ઓટોસ્ટાર્ટ ઇન્સ્ટોલ કરે છે જેથી તે રીબૂટ પછી ફરીથી ચાલે, અને તે ક્લિપબોર્ડ, કીબોર્ડ અને સ્ક્રીન પ્રવૃત્તિને કેપ્ચર કરે. નવીનતમ પ્રકાર, pinokio-redis, પોતાને "ઓટોડેસ્ક ફોર્જ" એકીકરણ તરીકે વર્ણવે છે - એક વર્ણન જે કોડ શું કરે છે તેનાથી અસંબંધિત છે.
| ઇકોસિસ્ટમ | npm |
| પેલોડ વર્ગ | મલ્ટી-સ્ટેજ ઇન્ફોસ્ટીલર + રિમોટ-કંટ્રોલ એજન્ટ (RAT) |
| પ્રાથમિક લક્ષ્યો | ક્રિપ્ટો વોલેટ્સ, બ્રાઉઝર વોલેટ એક્સટેન્શન્સ, ડેવલપર/ક્લાઉડ ઓળખપત્રો |
| દ્રઢતા | છુપાયેલ ટકાઉ રનટાઇમ + OS ઓટોસ્ટાર્ટ (પેકેજ દૂર કરવાથી બચી જાય છે) |
| એક્સફિલ્ટરેશન | ડિસ્કોર્ડ વેબhooks + રિલે, હગિંગફેસ હબ, પોર્ટ 9877 પર હાર્ડકોડેડ C2 |
| અવલોકન કરેલ ગાળો | મે ૨૦૨૬ – જુલાઈ ૨૦૨૬ (ચાલુ) |
| છેલ્લું નામ | pinokio-redis:1.0.127 |
એટેક એનાટોમી
આ પરિવારમાં દરેક પ્રકાર એક જ આકાર દ્વારા ઇન્સ્ટોલ થાય છે: એક પેકેજ જે તેના લિસ્ટિંગ પેજ પર નિષ્ક્રિય દેખાય છે પરંતુ પોસ્ટઇન્સ્ટોલ હૂક જાહેર કરે છે, તેથી પેકેજ ડિપેન્ડન્સી તરીકે ઇન્સ્ટોલ થાય તે ક્ષણે પેલોડ ચાલે છે. હૂક પાંચ-તબક્કાની સાંકળ ચલાવે છે.
- તબક્કો ૧ — સાકાર થવું. ઇન્સ્ટોલ સ્ક્રિપ્ટ બંડલ કરેલ, એન્કોડેડ ડીકોડ કરે છે રનટાઇમ સ્ક્રિપ્ટોના સમૂહમાં બ્લોબ કરો અને તેમને પ્લેટફોર્મ રૂપરેખા સ્થાન હેઠળ છુપાયેલી ડિરેક્ટરીમાં લખો (forge-jsxy સંસ્કરણોમાં ડોટેડ .forge-jsxy/runtime/v નો ઉપયોગ કરવામાં આવ્યો હતો). / પાથ). કારણ કે આ નકલ node_modules ની બહાર રહે છે, npm પેકેજને દૂર કરવાથી અથવા પ્રકાશિત ન કરવાથી ચાલી રહેલ એજન્ટ દૂર થતો નથી.
- સ્ટેજ 2 - ચાલુ રાખો. આ ચેઇન OS ઓટોસ્ટાર્ટ એન્ટ્રી રજીસ્ટર કરે છે જેથી એજન્ટ રીબૂટ પર ફરીથી લોન્ચ થાય છે. વિન્ડોઝ પર આ છુપાયેલા પાવરશેલ ડાયગ્નોસ્ટિક્સ સ્ક્રિપ્ટ દ્વારા ચાલે છે; એજન્ટ પ્રક્રિયા અલગથી અને windowsHide સેટ સાથે ઉત્પન્ન થાય છે જેથી કોઈ કન્સોલ વિન્ડો દેખાતી નથી.
- સ્ટેજ 3 - ટાળવું. રનટાઇમ સતત-સંકલન માર્કર્સ માટે તપાસ કરે છે અને જ્યારે તે CI પર્યાવરણ શોધે છે ત્યારે શાંતિથી બહાર નીકળી જાય છે, તેથી સ્વચાલિત બિલ્ડ સેન્ડબોક્સ કંઈ જોતા નથી. forge-jsxy સંસ્કરણોમાં, એક સ્ત્રોત ટિપ્પણીમાં જણાવાયું છે કે દૃશ્યમાન forgeInstall ફીલ્ડને package.json માંથી ઇરાદાપૂર્વક અવગણવામાં આવ્યું હતું "કારણ કે તે ફીલ્ડ npm પર દૃશ્યમાન થશે" - ઓપરેટરે હેતુપૂર્વક ટ્રિગર મેટાડેટાને જાહેર સૂચિમાંથી દૂર રાખ્યો હતો.
- સ્ટેજ 4 - એકત્રિત કરો. એકવાર દોડ્યા પછી, એજન્ટ એક જ પાસમાં લણણી કરે છે:
- ક્રિપ્ટો વોલેટ સામગ્રી. બંડલ કરેલ secret_filename_patterns.json લક્ષ્ય સૂચિ wallet.dat, *.mnemonic / માટે ફાઇલસિસ્ટમ સ્વીપ ચલાવે છે..seed / *.phrase ફાઇલો, keypair.json, Ethereum UTC– કીસ્ટોર્સ, અને *.p12 / *.pfx / *.jks કી સ્ટોર્સ. વોલેટ-ડેરિવેશન લાઇબ્રેરીઓ (bip39, secp256k1, base58check, અને Solana હેલ્પર્સ) બંડલમાં હાજર છે.
- બ્રાઉઝર વોલેટ એક્સટેન્શન. ક્રોમિયમએક્સટેન્શનડીબીહાર્વેસ્ટ મોડ્યુલ ક્રોમિયમ બ્રાઉઝર્સના સ્થાનિક એક્સટેન્શન-સ્ટોરેજ ડેટાબેઝ વાંચે છે, તે સ્થાન જ્યાં બ્રાઉઝર-આધારિત વોલેટ એક્સટેન્શન તેમના વોલ્ટ ડેટાને રાખે છે.
- ઓળખપત્રો અને રહસ્યો. એજન્ટ શેલ ઇતિહાસ અને ગુપ્ત ફાઇલોને સ્કેન કરે છે અને ડેવલપર/ક્લાઉડ ઓળખપત્રો વાંચે છે, પછી અપલોડ માટે HuggingFace ઓળખપત્રોને એન્કોડ કરે છે.
- લાઈવ ઇનપુટ. ક્લિપબોર્ડ સામગ્રી, કીબોર્ડ ઇનપુટ અને સ્ક્રીનશોટ સતત કેપ્ચર કરવામાં આવે છે.
સ્ટેજ 5 — એક્સફિલ્ટ્રેટ. એકત્રિત ડેટા હોસ્ટને ત્રણ દ્વારા છોડે છે સમાંતર રીતે કાર્યરત ચેનલો: ડિસ્કોર્ડ વેબhooks (ડિસ્કોર્ડવેબહૂકપોસ્ટ) અને એક ડિસ્કોર્ડ રિલે અપલોડર જે ` સાથે વાત કરે છેડિસકોર્ડ.com/api/v10` (ડિસ્કોર્ડરિલેઅપલોડ), હગિંગફેસ હબ અપલોડ્સ (hfUpload), અને એ હાર્ડકોડેડ C2 એન્ડપોઇન્ટ પોર્ટ 9877 પર પહોંચ્યો. એક રિલેપેકેજસર્વ મોડ્યુલ વધુમાં forge-jsxy-package.tgz બેક આઉટ સેવા આપે છે — એ જ દરેક નામ બદલો.
મહત્વપૂર્ણ માળખાકીય મુદ્દો એ છે કે સ્ટેજ 1-3 ઇન્સ્ટોલેશન સમયે ચાલે છે કોઈ વપરાશકર્તા ક્રિયાપ્રતિક્રિયા નહીં, અને સ્ટેજ 1 પેલોડને પેકેજની જગ્યાએ મૂકે છે મેનેજર ટ્રેક કરતો નથી. એક ડેવલપર જે વિચિત્ર નિર્ભરતા જોવે છે અને npm uninstall ચલાવવાથી યાદી દૂર થાય છે પણ એજન્ટ નહીં.
પેલોડ ઝડપી વાંચનનો પણ પ્રતિકાર કરે છે. રનટાઇમ સ્ક્રિપ્ટો મોકલવામાં આવતી નથી. સ્પષ્ટ રીતે: એક એન્કોડ-ડિપ્લોયમેન્ટ પગલું ઓપરેશનલ લોજિકને એક તરીકે રાખે છે એન્કોડેડ બ્લોબ જે ઇન્સ્ટોલ ચેઇન પછી જ વાંચી શકાય તેવી સ્ક્રિપ્ટોમાં વિસ્તરે છે તેને છુપાયેલી રનટાઇમ ડિરેક્ટરીમાં ડીકોડ કરે છે. દૃશ્યમાન ફાઇલો સૂચિમાં - પાતળું પોસ્ટઇન્સ્ટોલ શિમ અને ડિસ્ટ-મટીરિયલાઇઝેશન મદદગાર — આખરે શું ચાલે છે તે વિશે થોડું જણાવે છે. આ એન્કોડેડ-ડિલિવરી ડિઝાઇનનો ટ્રાયજ પર માપી શકાય તેવી અસર પડી છે: પરિવારના જીવનકાળ દરમિયાન, સ્વયંસંચાલિત વર્ગીકરણ દ્વારા બહુવિધ પુષ્ટિ થયેલ પ્રકારોને સુરક્ષિત સ્કોર આપવામાં આવ્યો હતો, અને પેલોડ એટલો અપારદર્શક રહ્યો છે કે ઓટોમેટેડ રિવ્યૂને સંપૂર્ણપણે અટકાવી શકાય છે. પરિવારને દૂર લઈ જતી વર્તણૂકો એન્કોડેડ થયા પછી જ દેખાય છે સ્ટેજ વિસ્તૃત થાય છે, અને રનટાઇમ સીધો વાંચવામાં આવે છે.
સમયરેખા
પરિવારનો પેલોડ નોંધપાત્ર રીતે સ્થિર રહ્યો છે; શું બદલાય છે તે છે બોક્સ પર નામ. ચાપ ખુલ્લા "ફોર્જ" બ્રાન્ડિંગથી ચાલે છે અસંબંધિત વિકાસકર્તા સાધનો તરીકે છુપાય છે.
| તારીખ (૨૦૨૫) | પેકેજ: સંસ્કરણ | નૉૅધ |
|---|---|---|
| મે (પ્રારંભિક) | forge-jsxy:1.0.81, :1.0.90 | સૌથી પહેલા પુષ્ટિ થયેલ પ્રકારો — AES-256-GCM-એન્ક્રિપ્ટેડ C2 સાથે RAT |
| 19 શકે | forge-jsxy:1.0.92 / 1.0.105 / 1.0.107 / 1.0.108 | સક્રિય પ્રકાશનમાં ઝુંબેશ; 1.0.92 ને શરૂઆતમાં ખોટું લેબલ સુરક્ષિત હતું અને કોડ પુનઃસમીક્ષા પર ઉલટાવી દેવામાં આવ્યું હતું. |
| મે મહિનાનો અંત | forge-jsx3 / forge-jsx4:1.0.122 / 1.0.123, zod-pino | ભાઈ-બહેનના પેકેજ નામ, સમાન ટૂલચેન |
| જૂન 4 | forge-jsxy:1.0.120 | ચાલુ રાખવું; ML મોડેલ દ્વારા વર્ગીકૃત સલામત (એક ચૂક) |
| જૂન ૧૧–૧૪ | forge-jsxy:1.0.121 | મોડ્યુલ સેટ ૧.૦.૧૨૦ થી અપરિવર્તિત |
| જુલાઈ 6 | zredis-typed:1.0.127 | નામમાંથી "ફોર્જ" કાઢી નાખવામાં આવ્યું છે; હજુ પણ મોકલવામાં આવે છે forge-jsxy-package.tgz અને forgeAgent* રૂપરેખા કી |
| જુલાઈ 7 | pinokio-redis:1.0.127 | એ જ ટૂલચેન; નવું C2; પોતાને "ઓટોડેસ્ક ફોર્જ" એકીકરણ તરીકે વર્ણવે છે. |
સમયરેખામાં બે બાબતો સ્પષ્ટ દેખાય છે. પ્રથમ, સંસ્કરણ નંબર 1.0.127 નો ઉપયોગ zredis-typed અને pinokio-redis બંને દ્વારા શબ્દશઃ ફરીથી કરવામાં આવે છે - નામકરણ બદલાય છે પરંતુ બિલ્ડ વંશ રીસેટ થતો નથી. બીજું, "forge-*" નામોથી દૂર જવાથી સામાન્ય ઈન્ફ્રાસ્ટ્રક્ચર (redis, pinokio) તરીકે વાંચવામાં આવતા નામો તરફના પરિવર્તન સાથે સુસંગતતા રહે છે, જેનાથી ડેવલપર નામને અવગણે છે અને ખચકાટ અનુભવે છે તેવી શક્યતા ઓછી થાય છે.
સમાધાનના સૂચકાંકો
નીચેના IOCs ડિફેન્જ્ડ છે. C2 હોસ્ટ ફોર્જ-jsxy લાઇન વચ્ચે ફેરવાય છે. અને નવીનતમ વેરિઅન્ટ, તે જ પોર્ટ રાખીને.
| સૂચક | ભાવ | માં જોવા મળે છે |
|---|---|---|
| C2 એન્ડપોઇન્ટ | 212.193.3[.]61:9877 | pinokio-redis:1.0.127 |
| C2 એન્ડપોઇન્ટ | 79.108.162[.]160:9877 | ફોર્જ-જેએસએક્સી લાઇન, zredis-typed:1.0.127 |
| એક્સફિલ ચેનલ | discord.com/api/webhooks/… (વેબહૂક પોસ્ટ) | બધા પ્રકારો |
| એક્સફિલ ચેનલ | discord.com/api/v10 (રિલે અપલોડ) | બધા પ્રકારો |
| એક્સફિલ ચેનલ | હગિંગફેસ હબ અપલોડ | બધા પ્રકારો |
| પીરસવામાં આવતી કલાકૃતિ | forge-jsxy-package.tgz (વાયા relayPackageServe) | બધા પ્રકારો |
| ટૂલચેન ફાઇલો | chromiumExtensionDbHarvest, discordRelayUpload, discordWebhookPost, hfUpload, encode-hf-credentials, forge-jsx-explorer-* | બધા પ્રકારો |
| લક્ષ્ય યાદી | secret_filename_patterns.json (wallet.dat, .mnemonic/.seed/.phrase, keypair.json, UTC--, .p12/.pfx/*.jks) | બધા પ્રકારો |
| છુપાયેલ રનટાઇમ | ડોટેડ …/.forge-jsxy/runtime/v<version>/ રૂપરેખા-ડાયરેક્ટર પાથ | ફોર્જ-જેએસએક્સી લાઇન |
| વિન્ડોઝ પર્સિસ્ટન્સ | છુપાયેલ પાવરશેલ "ફોર્જ ડાયગ્નોસ્ટિક્સ" ઓટોસ્ટાર્ટ સ્ક્રિપ્ટ | બધા પ્રકારો |
| ટ્રિગર ઇન્સ્ટોલ કરો | ડિસ્ટ-મટીરિયલાઇઝેશન સ્ક્રિપ્ટ ચેઇનનો ઉપયોગ કરીને પોસ્ટઇન્સ્ટોલ હૂક | બધા પ્રકારો |
સૌથી ટકાઉ શોધ સિગ્નલ કોઈ એક હોસ્ટ અથવા વેબહૂક નથી - તે ફેરવો — પરંતુ ટૂલચેન ફાઇલનામો અને forge-jsxy-package.tgz દરેક નામ બદલતી વખતે શબ્દશઃ ટકી રહેલ કલાકૃતિ.
એટ્રિબ્યુશન અને અવલોકન કરેલ વર્તણૂક
આ પેકેજો એક કરતાં વધુ npm એકાઉન્ટ હેઠળ પ્રકાશિત કરવામાં આવ્યા હતા. The forge-jsxy લાઇનમાં પ્રકાશક jacksonkaandorp2 (jacksonkaandorp2@outlook[.]com) નો ઉપયોગ કરવામાં આવ્યો હતો; ડોનિમિક દ્વારા નવીનતમ પિનોકિયો-રેડિસ વેરિઅન્ટ પ્રકાશિત કરવામાં આવ્યું હતું. (donimiqueakers@gmail[.]com). બંનેમાંથી કોઈ એકાઉન્ટમાં ચકાસાયેલ ઇમેઇલ નહોતો અથવા એક લિંક્ડ સોર્સ રિપોઝીટરી. એકાઉન્ટ્સમાં થ્રુ-લાઇન એ છે ટૂલચેન, પ્રકાશક ઓળખ નહીં — એ જ મોડ્યુલ નામો, એ જ .tgz પીરસવામાં આવે છે, અને કોણે પ્રકાશિત કર્યું છે તે ધ્યાનમાં લીધા વિના તે જ એક્સફિલ ડિઝાઇન પુનરાવર્તિત થાય છે.
કેટલાક અવલોકનક્ષમ વર્તણૂકો ઇરાદાપૂર્વક છુપાવવાનું સૂચવે છે તેના બદલે આકસ્મિક વધુ પડતો સંગ્રહ:
રનટાઇમ node_modules ની બહાર છુપાયેલી ડિરેક્ટરીમાં મૂકવામાં આવે છે, તેથી તે તેને પહોંચાડનાર પેકેજ કરતાં વધુ સમય સુધી ટકી રહે છે.
જ્યારે એજન્ટ CI વાતાવરણ શોધે છે ત્યારે તે બચી જાય છે, ઓટોમેટેડ વિશ્લેષણ સેન્ડબોક્સમાં એક્સપોઝરને મર્યાદિત કરે છે.
એજન્ટ પ્રક્રિયા અલગથી શરૂ થાય છે અને બારી-છુપાયેલ.ઇન ફોર્જ-જેએસએક્સી વર્ઝનમાં, એક ટિપ્પણીએ દૃશ્યમાન ઇન્સ્ટોલ ફીલ્ડની બાદબાકીને તે ફીલ્ડ "એનપીએમ પર દૃશ્યમાન" હોવા સાથે જોડી દીધી.
જાહેર પેકેજ વર્ણનો કોડ સાથે અસંબંધિત છે - પિનોકિયો-રેડિસ "ઓટોડેસ્ક ફોર્જ" એકીકરણ તરીકે રજૂ કરે છે.
ડિફેન્ડર્સ પર આધાર રાખતા હોય તેમના માટે એક રિકરિંગ ડિટેક્શન ગેપ નોંધનીય છે સ્વયંસંચાલિત વર્ગીકરણ: આ પરિવારમાં બહુવિધ પુષ્ટિ થયેલ પ્રકારો હતા કોડ સમીક્ષા સુધારે તે પહેલાં ML ક્લાસિફાયર દ્વારા સલામત તરીકે સ્કોર કરવામાં આવ્યો ચુકાદો. સમીક્ષક જે સ્થિર તત્વો પર આધાર રાખી શકે છે - ઇન્સ્ટોલ-સમય ચેઇન, છુપાયેલ રનટાઇમ, ટૂલચેઇન ફાઇલનામ - બરાબર એ જ છે જે નામ બદલવામાં પણ ટકી રહે છે.
અમે ઉપરોક્ત વર્તનને અવલોકન કરેલ વર્તન તરીકે વર્ણવીએ છીએ. અમે આને જવાબદાર માનતા નથી કોઈપણ નામાંકિત અભિનેતાને ઝુંબેશ ચલાવો, અને અમે ઓપરેટરના કોડ અને ઇન્ફ્રાસ્ટ્રક્ચર જે દર્શાવે છે તેનાથી આગળની ઓળખ અથવા ઉદ્દેશ્યો.
અસર, વલણો અને ડિફેન્ડર માર્ગદર્શન
કોણ ખુલ્લું પડે છે. આ કલેક્શન સેટ ડેવલપરને ધ્યાનમાં રાખીને બનાવવામાં આવ્યો છે. મશીનો: ક્રિપ્ટોકરન્સી વોલેટ અને કીસ્ટોર્સ, બ્રાઉઝર વોલેટ એક્સટેન્શન, શેલ ઇતિહાસ, અને ક્લાઉડ/સેવા ઓળખપત્રો. કોઈપણ જે ઇન્સ્ટોલ કરે છે અસરગ્રસ્ત પેકેજ - સીધા અથવા એક તરીકે પરિવર્તનીય અવલંબન — દરમિયાન તે લાઇવ હતું તે વિન્ડો અવકાશમાં છે, અને પર્સિસ્ટન્સ ડિઝાઇનનો અર્થ એ છે કે પેકેજ દૂર કરવામાં આવે ત્યારે એક્સપોઝર સમાપ્ત થતું નથી.
શા માટે દ્રઢતા મહત્વપૂર્ણ છે. કારણ કે સ્ટેજ 1 પેલોડને a માં નકલ કરે છે છુપાયેલ રનટાઇમ ડિરેક્ટરી અને સ્ટેજ 2 રજીસ્ટર ઓટોસ્ટાર્ટ, સામાન્ય ઉપચાર વૃત્તિ (ખરાબ નિર્ભરતાને અનઇન્સ્ટોલ કરો, નોડ_મોડ્યુલ્સ કાઢી નાખો, ફરીથી ઇન્સ્ટોલ કરો) એજન્ટને બહાર કાઢતું નથી. ઘટના પ્રતિભાવમાં શોધ કરવી પડે છે આઉટ-ઓફ-ટ્રી રનટાઇમ અને ઓટોસ્ટાર્ટ એન્ટ્રી, ફક્ત પેકેજ જ નહીં.
વલણ. આ પરિવાર જોવા લાયક એક પેટર્ન દર્શાવે છે: એક પેલોડ જે સ્થિર અને પરિપક્વ છે, નિકાલજોગ પ્રવાહમાં લપેટાયેલો છેપેકેજ નામો જે અગાઉના ટેકડાઉન પછીના કોઈપણ નામથી અલગ થઈ જાય છે ઓળખી શકાય તેવા, સામાન્ય માળખા તરીકે વાંચવામાં આવતા નામો તરફ. નામ-આધારિત આના કારણે બ્લોકલિસ્ટ અને પ્રકાશકની પ્રતિષ્ઠા ઝડપથી ખતમ થઈ જાય છે; વર્તન- અને આર્ટિફેક્ટ-આધારિત સંકેતો આમ કરતા નથી.
વિકાસકર્તાઓ અને ગ્રાહકો માટે
ઇન્સ્ટોલ-ટાઇમ સ્ક્રિપ્ટ્સને પ્રાથમિક જોખમ સપાટી તરીકે ગણો. શક્ય હોય ત્યાં સ્ક્રિપ્ટોને અક્ષમ કરીને ઇન્સ્ટોલ કરો અને કોઈપણ નિર્ભરતાની સમીક્ષા કરો જે a જાહેર કરે છે ઇન્સ્ટોલ કર્યા પછી. ટ્રાન્ઝિટિવ ડિપેન્ડન્સીને પિન અને વેટ કરો; માલવેરનો આ વર્ગ ડાયરેક્ટ જેટલી જ સરળતાથી સબ-ડિપેન્ડન્સી દ્વારા આવે છે.
શંકાસ્પદ હોસ્ટ પર, પેકેજની બહાર શોધ કરો: પ્લેટફોર્મ રૂપરેખા સ્થાનમાં છુપાયેલ રનટાઇમ ડિરેક્ટરી શોધો, એક અણધારી ઓટોસ્ટાર્ટ એન્ટ્રી, અને ડિસ્કોર્ડ વેબહૂક અથવા :9877 એન્ડપોઇન્ટ્સ સાથે આઉટબાઉન્ડ કનેક્શન્સ.
ધારો કે એક્સપોઝર વિન્ડો દરમિયાન અસરગ્રસ્ત હોસ્ટ પર હાજર કોઈપણ વોલેટ સીડ શબ્દસમૂહ, કીસ્ટોર અથવા ઓળખપત્ર સાથે ચેડા થયા છે, અને ફેરવો.
રજિસ્ટ્રી અને ડિફેન્ડર્સ માટે
ટકાઉ કલાકૃતિઓ પર ચેતવણી (forge-jsxy-package.tgz, the forge-jsx-explorer-* / chromiumExtensionDbHarvest / discordRelayUpload) પેકેજ નામને બદલે (filenames) ને બદલે, જે બદલાય છે.
પરિવાર જેના પર આધાર રાખે છે તે માળખાકીય સંયોજનને ફ્લેગ કરો — એક પોસ્ટઇન્સ્ટોલ જે સ્ક્રિપ્ટ્સને છુપાયેલા રૂપરેખા-ડાયર પાથ અને OS માં ભૌતિક બનાવે છે. ઓટોસ્ટાર્ટ નોંધણી — સામેલ ચોક્કસ શબ્દમાળાઓથી સ્વતંત્ર.
પેકેજ પરનું નામ ઓછામાં ઓછું ચાર વખત બદલાયું છે; અંદરનો ક્રેટ નથી. કોડ જે કરે છે તેના પર બનેલ શોધ દરેક અત્યાર સુધી રિલેબલિંગ.



