ફેન્ટમબોટ ઓળખપત્ર ચોરીથી બોટનેટ સુધી

ફેન્ટમબોટ: એક ટાઇપોસ્ક્વેટ ઝુંબેશ જે ઓળખપત્રની ચોરીથી ટર્નકી બોટનેટ કીટ તરફ આગળ વધી.

TL; DR

એક જ npm પ્રકાશક, deadcode09284814, એ કાયદેસર વિરુદ્ધ ટાઇપોસ્ક્વોટ ઝુંબેશ ચલાવી છે axios અને chalk-template મે 2026 ના મધ્યથી પેકેજો.

આ ઝુંબેશ પરંપરાગત ઓળખપત્ર અને વોલેટ ચોરી કરનાર તરીકે શરૂ થઈ હતી, જે ડેટાને એક સર્વિઓ HTTPS ટનલ.

On 2026-05-17, સાથે axois-utils:1.0.9, ઓપરેટરે પેલોડને સંપૂર્ણપણે બદલી નાખ્યો: સમાન ટ્રિપલ ઇન્સ્ટોલ-હૂક સ્કેફોલ્ડ, સમાન પ્રકાશક, સમાન પેકેજ નામ.

પરંતુ ઇન્સ્ટોલ સ્ક્રિપ્ટ હવે ક્રોસ-પ્લેટફોર્મ DDoS બોટનેટ રિક્રુટ છે.

પેલોડ એ સાથે વાત કરે છે localhost.run ટનલ બનાવે છે અને પૂરના આદેશો સ્વીકારે છે, ચેપગ્રસ્ત વાતાવરણને DDoS-સક્ષમ બોટનેટના ભાગમાં ફેરવે છે.

ઓપરેટરે તો મોકલ્યું પણ C2 સર્વર બાઈનરી ટારબોલની અંદર, ઓળખપત્રની ચોરીથી સક્રિય બોટનેટ ઇન્ફ્રાસ્ટ્રક્ચર સુધી સ્પષ્ટ વધારો દર્શાવે છે.

બે પેકેજો, ચાર વર્ઝન હજુ પણ રજિસ્ટ્રીમાં સક્રિય છે, અને એક ઓપરેટર હવે બંને મોડ્યુલોને સમાંતર રીતે ચલાવી રહ્યું છે.

તીવ્રતા: ઉચ્ચ.

હેડલાઇન IOC પ્રકાશક deadcode09284814 નું કોઈપણ axois-utils અથવા chalk-tempalte સંસ્કરણ

હુમલો: તે કેવી રીતે કાર્ય કરે છે

આ ઝુંબેશ ઇરાદાપૂર્વક કંટાળાજનક ડિલિવરી સ્કેફોલ્ડ પર બનાવવામાં આવી છે: બે ટાઇપોસ્ક્વેટ પેકેજ નામો, લાખો સાપ્તાહિક ડાઉનલોડ્સવાળા પેકેજોમાંથી એક અક્ષર દૂર (અક્ષો, ચાક-ટેમ્પલેટ), અને ટ્રિપલ ઇન્સ્ટોલ hooks જે અમલની ખાતરી આપે છે. રસપ્રદ વાત એ છે કે સ્કેફોલ્ડ શું છે વહન કરે છે — અને હકીકત એ છે કે ઓપરેટરે બીજું કંઈ બદલ્યા વિના કાર્ગો બદલી નાખ્યો.

વહેંચાયેલ સ્કેફોલ્ડ

બંને પેકેજોનું દરેક પ્રકાશિત સંસ્કરણ સમાન ત્રણ જીવનચક્ર જાહેર કરે છે hooks in પેકેજ.જેસન:

"scripts": {    "preinstall":  "node <payload>.js",    "install":     "node <payload>.js",    "postinstall": "node <payload>.js"  } 

ત્રણેય હેઠળ પેલોડની યાદી બનાવવી hooks અતિશય છે - પોસ્ટઇન્સ્ટોલ એકલા ડિફોલ્ટમાં ચાલશે npm સ્થાપિત કરોપસંદગી મહત્વપૂર્ણ છે: npm ઇન્સ્ટોલ કરો - અવગણો-સ્ક્રિપ્ટો સ્ક્રિપ્ટો છોડી દે છે, પરંતુ ઘણા સામાન્ય વર્કફ્લો (CI કેશ તે ફરીથી ચલાવાતા જીવનચક્રને પુનઃસ્થાપિત કરે છે) hooks પસંદગીયુક્ત રીતે, અથવા વિકાસકર્તાઓ જે ફક્ત ઑડિટ કરે છે પોસ્ટઇન્સ્ટોલ) ટ્રિપલ-રિડન્ડન્ટ ઘોષણા કરો, હુમલાખોર માટે સૌથી સલામત શરત.

ચાક-ટેમ્પાલ્ટે બીજી પદ્ધતિ ઉમેરે છે: તે જાહેર કરે છે એક્સોઇસ-યુટિલ્સ:^1.0.7 રનટાઇમ તરીકે અવલંબન. ટાઇપોસ્ક્વેટેડ ઇન્સ્ટોલ કરવું ચાક-ટેમ્પલેટ તેથી સિબલિંગ ટાઇપોસ્ક્વેટ પણ ખેંચાય છે, અને બંને પેલોડ ચાલે છે. બંને પેકેજો એક સંકલિત જોડી છે, સ્વતંત્ર સૂચિઓ નહીં.

તબક્કો A — ઓળખપત્ર / વોલેટ ચોર (2026-05-15 → હાલ)

તબક્કો A એ મૂળ પેલોડ છે. લોડર ટૂંકો છે પોસ્ટઇન્સ્ટોલ.જેએસ જે Serveo HTTPS રિવર્સ-ટનલ તરફ નિર્દેશ કરે છે:

// chalk-tempalte/postinstall.js:11-13  const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com";  const C2_PORT = 443;  const C2_PATH = '/collect'; 

સર્વો સબડોમેન ડેસ્ટિનેશન IP ને એન્કોડ કરે છે (80.200.28.28) સીધા હોસ્ટનામમાં — તે સેવા માટે એક ઓળખી શકાય તેવી પરંપરા. ઓપરેટર સરળ ડોમેન બ્લોકલિસ્ટ્સ ટાળવા માટે આવૃત્તિઓ વચ્ચે રેન્ડમ સબડોમેન ઉપસર્ગ ફેરવે છે, પરંતુ અંતર્ગત IP ક્યારેય ખસે નહીં. (ચાક-ટેમ્પાલ્ટ:1.0.14 વપરાયેલ 8a3e818ea8f11186-80-200-28-28…; ૧.૦.૧૬ / ૧.૦.૧૯ / ૧.૦.૨૦ ઉપયોગ f04a273bd84c0622-….)

પોસ્ટઇન્સ્ટોલ.જેએસ હાથ દૂર કરો ફેન્ટમ.જેએસ, 7,667-લાઇન બંડલ કરેલ "કલેક્ટર" મોડ્યુલ. ફેન્ટમ.જેએસ યજમાનને આ માટે લઈ જાય છે:

SSH ખાનગી કી (~/.ssh/*)
.npmrc સામગ્રી અને કોઈપણ npm_* env ટોકન્સ
AWS, GCP, અને Azure ઓળખપત્ર ફાઇલો
ગિટહબ પર્સનલ-એક્સેસ-ટોકન રેજેક્સ (ghp_*, gho_*, ghu_*, ghs_*)
બિટકોઇન, એક્ઝોડસ, ઇલેક્ટ્રમ, મોનેરો, લાઇટકોઇન, ડોગેકોઇન, ઝેકેશ, ડેશ માટે ક્રિપ્ટો-વોલેટ આર્ટિફેક્ટ્સ
પુનરાવર્તિત .env* ચાલવું ~/projects, ~/dev, ~/code, ~/workspace, અને cwd ઇન્સ્ટોલ કરો
શેલ ઇતિહાસ અને સંપૂર્ણ process.env

બંડલને સર્વિઓ ટનલમાં પોસ્ટ કરવામાં આવે છે / એકત્રિત કરો. કોઈ અસ્પષ્ટતા નથી, કોઈ એન્ટિ-VM લોજિક નથી, કોઈ સ્ટેજીંગ નથી — ઓપરેટરનો આધાર વોલ્યુમ અને ઝડપ પર છે.

તબક્કો B — ફેન્ટમબોટ DDoS ભરતી (2026-05-17, axois-utils: ફક્ત 1.0.9)

ફેઝ B, phantom.js + postinstall.js ને distrube.js નામની એક ફાઇલથી બદલે છે (ટાઇપો ઓપરેટરની ભૂલ છે). package.json માં ટ્રિપલ-હૂક સ્કેફોલ્ડ અપરિવર્તિત છે; પેકેજ એ જ નામ, સ્કોપ અને વર્ઝન-બમ્પ પેટર્ન રાખે છે. બહારથી, axois-utils:1.0.9 1.0.6 ના નાના ફોલો-ઓન જેવું લાગે છે. અંદર, તે એક અલગ માલવેર ફેમિલી છે.

ડિસ્ટ્રુબ.જેએસ એક રૂપરેખાંકન બ્લોક સાથે ખુલે છે જે ઓપરેટરના પોતાના બ્રાન્ડિંગને નામ આપે છે:

// axois-utils-1.0.9/distrube.js:11-15
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally)
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel
const C2_PORT = 443; // HTTPS port - tunnel handles SSL
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`;

આ ટિપ્પણીઓ કીટ ચલાવતા ભાવિ ઓપરેટરને સંબોધવામાં આવી છે ("તમારા લોકલહોસ્ટ.રન HTTPS URL નો ઉપયોગ કરો"). તે, અને બોટ ક્લાયન્ટની બાજુમાં જે મોકલવામાં આવે છે, તે દર્શાવે છે કે આ ફક્ત પીડિત પેલોડ નથી - તે કીટ છે.

પ્રવાહ:

  1. દ્રઢતા પહેલા ચાલે છે. સ્ક્રિપ્ટ દરેક OS (રજિસ્ટ્રી) માટે ત્રણ અલગ અલગ રીતે ઇન્સ્ટોલ થાય છે. ચલાવો + સ્ટાર્ટઅપ ફોલ્ડર + schtasks વિન્ડોઝ પર; ક્રોન્ટાબ + ફેન્ટમ-બોટ.સર્વિસ સિસ્ટમડી યુનિટ + બૅશ/.zshrc ઉમેરો + /etc/rc.local Linux પર; લોન્ચ એજન્ટ com.phantom.bot.plist macOS પર). પર્સિસ્ટન્સ સર્વિસ નામ અને LaunchAgent લેબલ બંને ફેન્ટમ-બોટ / કોમ.ફેન્ટમ.બોટ, જેમાંથી ઝુંબેશનું નામ પણ આવે છે.
  2. સિસ્ટમ માહિતી એક્સફાઇલ એકવાર ચાલે છે — એક-શોટ ફિંગરપ્રિન્ટ POST b94b6bcfa27554.lhr.life:443/collect પર હોસ્ટનામ, પ્લેટફોર્મ, આર્ચ, યુઝરનેમ, CPU/RAM, નેટવર્ક ઇન્ટરફેસ, process.env, cwd, homedir, નોડ વર્ઝન અને પબ્લિક IP વહન કરે છે. આ ફેઝ A કરતા ઘણું ઓછું આક્રમક છે: કોઈ SSH નહીં, કોઈ વોલેટ નહીં, કોઈ .env રિકર્ઝન નહીં. બોટનું કામ નોંધણી કરવાનું છે, ચોરી કરવાનું નહીં.
  3. હૃદયના ધબકારાનો લૂપ દર 30 સેકન્ડે b94b6bcfa27554.lhr.life:443/ પર HTTPS POST ખોલે છે. વપરાશકર્તા-એજન્ટ PhantomBot/1.0 છે. TLS ચકાસણી સ્પષ્ટપણે અક્ષમ છે (rejectUnauthorized: false). C2 પ્રતિભાવને {type, target, port, duration, threads, method} ફોર્મના JSON તરીકે વિશ્લેષિત કરવામાં આવે છે અને મોકલવામાં આવે છે.
  4. પૂર શસ્ત્રાગાર છ આદેશો સાથે જોડાયેલ છે:
આદેશ પ્રકાર મોડ્યુલ નોંધો
ટેબલ ટેનિસની રમતનું વેપારી જીવંતતા જવાબ બોટ પોતાને ઓળખે છે
http HTTP ફ્લડ લેયર-7 રિક્વેસ્ટ ફ્લડ
https HTTPS ફ્લડ http જેવું જ, TLS-આવરિત
tcp TCP પૂર ૬૫ KB રેન્ડમ-પેલોડ સ્પામ
udp UDP પૂર ૬૫,૫૦૭-બાઇટ UDP પેકેટ્સ
ઝડપી HTTP/2 રેપિડ-રીસેટ DoS 2023 CVE-2023-44487 ટેકનિક

પાંચેય પૂર મોડ્યુલો એક લે છે લક્ષ્ય, પોર્ટ, સમયગાળો, અને સૂત્રો દલીલ — આ બોટ એક સામાન્ય ફોર-હાયર ફ્લડર છે, જે કોઈ ચોક્કસ પીડિતને લક્ષ્યમાં રાખતો નથી. ઓપરેટરની પીડિત યાદી C2 પર રહે છે, પેકેજમાં નહીં.

અહીં નવું શું છે — મોકલેલ C2 બાઈનરી

તબક્કો A એક પરિચિત સ્વરૂપ છે: ઓળખપત્ર ચોરી, ઇન્સ્ટોલ હૂક, વેન્ડર-ટનલ C2. તબક્કો B છે પણ એક પરિચિત સ્વરૂપ — DDoS બોટનેટ્સ વર્ષોથી દૂષિત npm પેકેજોનું એક સાધન રહ્યું છે. અસામાન્ય વાત એ છે કે ઓપરેટરે સર્વર બાજુ npm ટારબોલની અંદરની કીટની વિગતો:

  • c2 — 4-મેગાબાઇટ સંકલિત Go ELF બાઈનરી
  • c2.go દ્વારા વધુ — તે બાઈનરી માટે 426-લાઇન ગો સોર્સ

કોઈપણ ફાઇલને કોઈપણ ઇન્સ્ટોલ હૂક દ્વારા બોલાવવામાં આવતી નથી. તે પીડિત પેલોડનો ભાગ નથી. તેઓ પેકેજ ડિરેક્ટરીમાં એ જ રીતે બેઠેલા છે જેમ દસ્તાવેજીકરણ ફાઇલ કરે છે. સૌથી વધુ બુદ્ધિગમ્ય વાંચન એ છે કે ઓપરેટરે ફાઇલ સૂચિ - એક વાસ્તવિક OpSec સ્લિપ - ક્યુરેટ કર્યા વિના તેમના ડેવલપમેન્ટ વર્કિંગ ટ્રીને npm પર ધકેલી દીધી હતી અને જે મોકલવામાં આવ્યું હતું તે સંપૂર્ણ બે-બાજુવાળી કીટ છે: પીડિત જે ક્લાયન્ટ ચલાવે છે, અને ઓપરેટર જે સર્વર ચલાવે છે.

આ વાર્તાનો તે ભાગ છે જે "ટર્નકી બોટનેટ કીટ" ફ્રેમિંગને યોગ્ય ઠેરવે છે. જેણે પણ ડાઉનલોડ કર્યું છે એક્સોઇસ-યુટિલ્સ: 1.0.9 ટેકડાઉન પહેલાં ફક્ત પીડિતનો નમૂનો જ નથી - તેમની પાસે કાર્યરત C2 સર્વર પણ છે.

એક વાક્યમાં, ધ પીવટ

એ જ પ્રકાશક, એ જ પેકેજ નામો, એ જ ટ્રિપલ-હૂક સ્કેફોલ્ડ, એ જ "ફેન્ટમ" બ્રાન્ડિંગ - પણ પેલોડે રાતોરાત મુદ્રીકરણ મોડેલ બદલી નાખ્યું: "હું ફરીથી વેચી શકું છું તે લણણીના રહસ્યો" થી "ભાડે પૂર ક્ષમતા જે હું ભાડે આપી શકું છું" સુધી. ડિફેન્ડર્સે જે ઇન્સ્ટોલ-ટાઇમ TTPs પર નજર રાખવી જોઈએ તે બંને તબક્કામાં લગભગ સમાન છે; સિગ્નેચર-આધારિત સંરક્ષણો ફેઝ A ના વોલેટ-પાથ સ્ટ્રિંગ્સ અથવા ફેન્ટમ.જેએસ7,667-લાઇન કલેક્ટર ફેઝ B સંપૂર્ણપણે ચૂકી ગયો હોત.

તારીખ (UTC) ઇવેન્ટ
2026-05-15 પ્રથમ પ્રકાશન: axois-utils:1.0.4 (LAN ટેસ્ટ બિલ્ડ, ડેવલપમેન્ટ રિગ પર 192.168.129.19)
2026-05-15 axois-utils:1.0.6 પ્રકાશિત — તબક્કો A C2 ને સ્વેપ કરીને 80.200.28.28 સર્વિઓ ટનલ દ્વારા; સ્ત્રોત ટિપ્પણી // Change to '80.200.28.28' for public ડેવલપર-પ્રોડ સ્વેપની પુષ્ટિ કરે છે
2026-05-16 chalk-tempalte:1.0.14 અને 1.0.16 પ્રકાશિત — સાંકળવાળો લોડર જાહેર કરવો axois-utils:^1.0.7 રનટાઇમ ડિપેન્ડન્સી તરીકે; સર્વો સબડોમેન ફેરવાયું
2026-05-16 નિયમિત npm સ્કેનિંગ દરમિયાન તબક્કો A ઝુંબેશ મળી; પુષ્ટિ-દૂષિત ચુકાદાઓ લાગુ કરવામાં આવ્યા
2026-05-17 axois-utils:1.0.9 પ્રકાશિત — પેલોડ પિવોટ: લોકલહોસ્ટ.રન ટનલ દ્વારા ફેન્ટમબોટ ડીડીઓએસ ભરતી; ઓપરેટર-સાઇડ c2 દ્વિસંગી અને c2.go સ્રોત ટારબોલમાં મોકલવામાં આવ્યો
2026-05-17 chalk-tempalte:1.0.19 અને 1.0.20 પ્રકાશિત — હજુ પણ તબક્કો A (ચોરી કરનાર); ઓપરેટર હવે બંને મોડ્યુલો સમાંતર ચલાવી રહ્યું છે
2026-05-17 નિયમિત સ્કેનીંગ દરમિયાન ફેઝ B ની શોધ; બધા પર ચુકાદા લાગુ પડ્યા 2026-05-17 આવૃત્તિઓ
(ચાલુ) દૂર કરવાના અહેવાલો બાકી છે; લખાણ સમયે ચારેય પ્રકાશિત પેકેજો રજિસ્ટ્રી પર ઉપલબ્ધ છે.

સમાધાનના સૂચકાંકો

પેકેજો

ઇકોસિસ્ટમ પેકેજ આવૃત્તિઓ
npm axois-utils (એક્સીઓસનો ટાઇપોસ્ક્વોટ) 1.0.4, 1.0.6, 1.0.9
npm chalk-tempalte (ચાક-ટેમ્પલેટનો ટાઇપોસ્ક્વેટ) 1.0.14, 1.0.16, 1.0.19, 1.0.20

લેખકની ઓળખ

ક્ષેત્ર ભાવ
npm પ્રકાશક deadcode09284814
પ્રકાશકનું ઇમેઇલ phantomdeadcode@tutamail.com
SCM ચકાસણી કંઈ

આદેશ અને નિયંત્રણ

તબક્કો એન્ડપોઇન્ટ ટ્રાન્સપોર્ટ
A f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect સર્વિઓ HTTPS ટનલ
A 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect સર્વિઓ HTTPS ટનલ (પહેલાનું સંસ્કરણ)
A 80.200.28.28:443/collect અંતર્ગત VPS એન્ડપોઇન્ટ
B b94b6bcfa27554.lhr.life:443/ localhost.run HTTPS રિવર્સ-ટનલ

ફાઇલ ડાયજેસ્ટ (SHA-256)

ફાઇલ SHA-256 નોંધો
c2 (ગો ELF, 4 MB) 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 ઓપરેટર-બાજુ C2 સર્વર, અંદર મોકલેલ axois-utils:1.0.9
c2.go (૪૨૬ પંક્તિઓ) 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 C2 બાઈનરી માટે ગો સોર્સ
distrube.js 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 ફેઝ બી બોટ ક્લાયંટ
phantom.js (chalk-tempalte:1.0.19) 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 ફેઝ A ઓળખપત્ર / વોલેટ કલેક્ટર
phantom.js (chalk-tempalte:1.0.20) d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 ફેઝ એ કલેક્ટર (1.0.20 વેરિઅન્ટ)
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 ફેઝ A લોડર, બંને વર્ઝનમાં બાઇટ-સમાન

એટ્રિબ્યુશન અને પ્રેરણા

અમે આ ઝુંબેશને આ રીતે ટ્રેક કરીએ છીએ ફેન્ટમબોટ, ઓપરેટર પાસેથી પોતાનું બ્રાન્ડિંગ લઈને યુઝર-એજન્ટ: ફેન્ટમબોટ/1.0 હૃદયના ધબકારાના મથાળા, ફેન્ટમ-બોટ.સર્વિસ સિસ્ટમડી યુનિટ, કોમ.ફેન્ટમ.બોટ LaunchAgent લેબલ, અને ફેન્ટમડેડકોડ@ ઇમેઇલ હેન્ડલ. ઓપરેટર ઓછામાં ઓછા ચાર આર્ટિફેક્ટ્સમાં આ નામ વિશે સુસંગત છે.

સિગ્નલ કેટલોગ

  • પ્રકાશક - ડેડકોડ09284814 npm પર. સિંગલ-હેન્ડલ એકાઉન્ટ, ટુટામેલ ડિસ્પોઝેબલ ઇમેઇલ, ના SCM ચકાસણી. આ ઝુંબેશ સિવાય કોઈ પૂર્વ પ્રકાશન ઇતિહાસ નથી.
  • બ્રાન્ડિંગ પુનઃઉપયોગ — "ફેન્ટમ" પ્રકાશકના ઇમેઇલમાં, ફેઝ A કલેક્ટર ફાઇલનામમાં દેખાય છે (ફેન્ટમ.જેએસ), ફેઝ B પર્સિસ્ટન્સ સર્વિસ નામમાં (ફેન્ટમ-બોટ.સર્વિસ), LaunchAgent લેબલમાં (કોમ.ફેન્ટમ.બોટ), અને બોટમાં યુઝર-એજન્ટ (ફેન્ટમબોટ/1.0).
  • ઈન્ફ્રાસ્ટ્રક્ચર — એક જ VPS પર 80.200.28.28 સર્વો સબડોમેન રોટેશન દ્વારા ફેઝ A ને આગળ ધપાવે છે; ફેઝ B a માં ખસે છે લોકલહોસ્ટ.રન રિવર્સ-ટનલ (b94b6bcfa27554.lhr.life દ્વારા વધુ). બંને વિક્રેતા સેવાઓ મફત છે અને ઓપરેટર તરફથી ફક્ત આઉટબાઉન્ડ SSH ની જરૂર પડે છે, જે ઓછા બજેટ, ઓછા OpSec સેટઅપ્સ સાથે સુસંગત છે.
  • કોડ શૈલી — સમગ્ર જગ્યાએ સાદી જાવાસ્ક્રિપ્ટ; કોઈ અસ્પષ્ટતા નહીં, કોઈ સ્ટ્રિંગ એન્કોડિંગ નહીં, કોઈ એન્ટિ-VM તપાસ નહીં. ચલ નામો વર્ણનાત્મક છે (સિસ્ટમ ઇન્ફો ચોરી કરો, એક્ઝિક્યુટ કમાન્ડ, httpપૂર). ટિપ્પણીઓ ડિસ્ટ્રુબ.જેએસ ભવિષ્યના ઓપરેટરને સીધો સંબોધિત કરો ("તમારા લોકલહોસ્ટ.રન HTTPS URL નો ઉપયોગ કરો"), જે સૂચવે છે કે ફાઇલનો હેતુ એક કિટ તરીકે ફરીથી વિતરિત કરવાનો હતો, એક પણ હુમલાખોર દ્વારા ઉપયોગમાં લેવાનો નહોતો.
  • ઓપ્સેક સ્લિપ — ફેઝ B ટારબોલ બોટ ક્લાયન્ટ અને ઓપરેટર-સાઇડ C2 સર્વર બંનેને મોકલે છે (c2 ઇએલએફ + c2.go દ્વારા વધુ સ્ત્રોત). આ એક ઓપરેટર સાથે સુસંગત છે જેણે ફાઇલ સૂચિનું ઑડિટ કર્યા વિના તેમના કાર્યકારી વૃક્ષને npm પર ધકેલ્યું. કાં તો ઓપરેટર બિનઅનુભવી છે, અથવા કીટ છે અર્થ જાહેરમાં વિતરિત કરવા માટે અને C2 બાઈનરી ઉત્પાદનનો ભાગ છે.
  • સ્વ-પુષ્ટિ - એક્સોઇસ-યુટિલ્સ: 1.0.4 સ્રોત ટિપ્પણી શામેલ છે // જાહેર જનતા માટે '80.200.28.28' માં બદલો લાઇન ૧૨ પર, વિકાસ / સ્ટેજીંગ / ઉત્પાદન પ્રગતિની પુષ્ટિ કરે છે જે ઓપરેટરો સામાન્ય રીતે નકારે છે.

પ્રોત્સાહન

ફેઝ A પેલોડ સીધી નાણાકીય ચોરી છે: ઓળખપત્રો, ક્લાઉડ કી, ગિટહબ ટોકન્સ અને ક્રિપ્ટો વોલેટ્સ બધામાં પ્રવાહી પુનર્વેચાણ બજારો છે. ફેઝ B પણ નાણાકીય છે, પરંતુ પરોક્ષ: DDoS-for-hire ("booter") સેવાઓ મિનિટે ફ્લડ ક્ષમતા ભાડે લે છે, અને અહીં મોકલવામાં આવેલા બોટ્સ જેવા બોટ્સ તે સેવાઓની ઇન્વેન્ટરી છે જેના પર તે ચાલે છે. 30-સેકન્ડના હાર્ટબીટ, સામાન્ય લક્ષ્ય/પોર્ટ/સમયગાળો કમાન્ડ સ્કીમા, અને પાંચ-પ્રોટોકોલ ફ્લડ આર્સેનલ છે standard બુટર ઓપરેટરનું ઉત્પાદન.

બંને મોડ્યુલોને સમાંતર રીતે ચલાવવું — ચાક-ટેમ્પાલ્ટ:1.0.19 અને 1.0.20 ચોરી કરનારને મોકલવાનું ચાલુ રાખો જ્યારે એક્સોઇસ-યુટિલ્સ: 1.0.9 બોટ મોકલે છે — સૂચવે છે કે ઓપરેટર ફેઝ A છોડી દેવાને બદલે આવકના પ્રવાહોનું હેજિંગ કરી રહ્યો છે. પીવોટ એ વધુમાં, રિપ્લેસમેન્ટ નહીં.

આપણે જેનો દાવો નથી કરતા

અમે તેની પાછળની વાસ્તવિક ઓળખની પુષ્ટિ કરી શક્યા નથી ડેડકોડ09284814 હેન્ડલ, અને અમે આ ઝુંબેશને કોઈપણ નામાંકિત ધમકી આપનાર અભિનેતા, જૂથ અથવા દેશને આભારી નથી. "ફેન્ટમ" બ્રાન્ડિંગ એક જ ઓપરેટર સૂચવવા માટે આર્ટિફેક્ટ્સમાં પૂરતું સુસંગત છે, પરંતુ C2 બાઈનરીનું કીટ-શૈલી શિપિંગ એ શક્યતા ખોલે છે કે અસંબંધિત હેન્ડલ્સમાંથી ભાવિ પેકેજો સમાન કોડનો ફરીથી ઉપયોગ કરશે.

અસર

કાયદેસર સ્ક્વોટ લક્ષ્યો અક્ષો અને ચાક-ટેમ્પલેટ જાવાસ્ક્રિપ્ટ ઇકોસિસ્ટમમાં વ્યાપકપણે આધારિત છે; અક્ષો એકમાત્ર નામ ટોચના ત્રીસ સૌથી વધુ ડાઉનલોડ થયેલા npm પેકેજોમાં આવે છે. ટાઇપોસ્ક્વોટ નામો વાસ્તવિક નામોથી એક કીસ્ટ્રોક દૂર છે (એક્ઝોઇસઅક્ષો, ટેમ્પાલ્ટેનમૂનો), અને બંને ભાષાકીય રીતે સંભવિત ખોટી જોડણીઓ છે.

દૂર કરતા પહેલા અમે દૂષિત સંસ્કરણો માટે વિશ્વસનીય ડાઉનલોડ આંકડા મેળવી શક્યા નહીં — પેકેજ અપ્રકાશિત થયા પછી npm પ્રતિ-વર્ઝન ડાઉનલોડ ગણતરીઓ જાળવી રાખતું નથી, અને npms.io દ્વારા વધુ-શૈલી પ્રોક્સીઓ આ સ્કેલ પર ઘોંઘાટીયા છે. કોઈપણ સંસ્થા જેની લોકફાઇલ નામના પેકેજ પર રિઝોલ્યુશન કરે છે એક્સોઇસ-યુટિલ્સ or ચાક-ટેમ્પાલ્ટે પ્રકાશક તરફથી ડેડકોડ09284814 સમાધાનકારી તરીકે ગણવું જોઈએ: હાજર દરેક ઓળખપત્રને ફેરવો process.env અસરગ્રસ્ત હોસ્ટ પર, OS દીઠ પર્સિસ્ટન્સ વેક્ટર્સનું ઑડિટ કરો (નીચે "ડિફેન્ડર્સે શું કરવું જોઈએ" જુઓ), અને ડિપેન્ડન્સી દૂર કરો.

ઉભરતા દાખલાઓ

આ ઝુંબેશ તાજેતરના npm ઘટનાઓમાં આપણે જોયેલા પરિવર્તનનું ઉદાહરણ આપે છે: ઇન્સ્ટોલ-હૂક સ્કેફોલ્ડ એ ટકાઉ સંપત્તિ છે; પેલોડ સ્વેપેબલ છે. એ જ પ્રકાશક, એ જ પેકેજ, એ જ પ્રીઇન્સ્ટોલ કરો / ઇન્સ્ટોલ કરો / પોસ્ટઇન્સ્ટોલ ટ્રિપલ, અને તે પણ સમાન વર્ઝન-બમ્પ કેડન્સ - એકમાત્ર વસ્તુ જે વચ્ચે બદલાઈ ગઈ એક્સોઇસ-યુટિલ્સ: 1.0.6 અને એક્સોઇસ-યુટિલ્સ: 1.0.9 ફાઇલ શું હતી hooks ચલાવો. ફેઝ A પેલોડ (વોલેટ-પાથ સ્ટ્રિંગ્સ, ફેન્ટમ.જેએસ(7,667-લાઇન કલેક્ટર, સર્વિયો C2 હોસ્ટ) પહેલા ત્રણ વર્ઝનને ફ્લેગ કરી શક્યું હોત અને ફેઝ B સંપૂર્ણપણે ચૂકી ગયો હોત.

આ જ પેટર્ન 2026 માં અમે ટ્રેક કરેલા અન્ય ઝુંબેશોમાં પણ જોવા મળે છે: સ્થિર સ્કેફોલ્ડ ધરાવતો એક જ ઓપરેટર, ઓળખપત્રોની ચોરી, પરીક્ષામાં છેતરપિંડી કરનારા ક્લાયન્ટ્સ, ટેલિગ્રામ-બોટ એક્સફિલ અને હવે DDoS ભરતી. પેલોડ સહીઓ પર આધાર રાખનારા ડિફેન્ડર્સ દરેક ઝુંબેશના બીજા રાઉન્ડમાં હારતા રહેશે.

પરિણામ એ છે કે ઇન્સ્ટોલ-ટાઇમ TTP એ વધુ સારા સિગ્નલ છે. ટ્રિપલ ઇન્સ્ટોલ-હૂક ડિક્લેરેશન, આયાત કરતી સ્ક્રિપ્ટો ઇન્સ્ટોલ કરો https or બાળ_પ્રક્રિયા, યુઝર-સ્ટાર્ટઅપ ફોલ્ડર્સમાં લખતી સ્ક્રિપ્ટો ઇન્સ્ટોલ કરો, અને ફ્રી રિવર્સ-ટનલ સેવાઓ પર હોસ્ટનામ રિઝોલ્યુશન કરતી સ્ક્રિપ્ટો ઇન્સ્ટોલ કરો (સર્વિઓ, લોકલહોસ્ટ.રન, ngrok, cloudflared) બધા કાયદેસર પેકેજોમાં દુર્લભ છે અને દૂષિત પેકેજોમાં સામાન્ય છે.

ડિફેન્ડર્સે શું કરવું જોઈએ

  • લોકફાઇલ ઑડિટ. દર શોધો package-lock.json / યાર્ન.લોક / pnpm-lock.yaml દ્વારા વધુ ચોક્કસ શબ્દમાળાઓ માટે તમારી સંસ્થામાં એક્સોઇસ-યુટિલ્સ અને ચાક-ટેમ્પાલ્ટેકોઈપણ મેચને સમાધાન તરીકે ગણો.
  • રહસ્યો ફેરવો અસરગ્રસ્ત યજમાનો પર. ફેઝ A માં બલ્ક-હાર્વેસ્ટેડ SSH, ક્લાઉડ, GitHub, npm અને વોલેટ ઓળખપત્રો. હાજર દરેક ઓળખપત્રને ધારો process.env, . / .ssh, ~/.aws, ~/.npmrc, . / .કનફિગ, અથવા કોઈપણ .env* અસરગ્રસ્ત હોસ્ટ પરની ફાઇલ ખુલ્લી થઈ ગઈ છે.
  • દ્રઢતા દૂર કરો (તબક્કો B). Windows પર, કાઢી નાખો HKCU\સોફ્ટવેર\માઈક્રોસોફ્ટ\વિન્ડોઝ\કરન્ટવર્ઝન\રન\સિસ્ટમઅપડેટ, દૂર કરો %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\system-update.bat, અને schtasks /delete /tn સિસ્ટમઅપડેટ /fલિનક્સ પર, crontab -e અને દૂર કરો @રીબૂટ નોડ …, systemctl –વપરાશકર્તા અક્ષમ –હવે phantom-bot.service પછી કા deleteી નાંખો ~/.config/systemd/user/phantom-bot.service, ઝાડી બૅશ / .zshrc / /etc/rc.local. macOS પર, launchctl અનલોડ ~/Library/LaunchAgents/com.phantom.bot.plist પછી પ્લિસ્ટ કાઢી નાખો.
  • C2 હોસ્ટ્સને બ્લોક કરો. IOC કોષ્ટકમાં ચાર C2 એન્ડપોઇન્ટ્સને તમારી બહાર નીકળવાની બ્લોકલિસ્ટમાં ઉમેરો. *.serveousercontent.com અને *.lhr.life જો તમારા વાતાવરણમાં રિવર્સ-ટનલ સેવાઓનો કોઈ કાયદેસર ઉપયોગ ન હોય તો તેને મોટા પાયે અવરોધિત કરી શકાય છે.
  • ઇન્સ્ટોલ-ટાઇમ TTP દ્વારા શોધો, પેલોડ નહીં. ઇન્વેન્ટરી લોકફાઇલ એન્ટ્રીઓ જેની પેકેજ.જેસન જાહેર પ્રીઇન્સ્ટોલ કરો, ઇન્સ્ટોલ કરો, અને પોસ્ટઇન્સ્ટોલ બધા એક જ સ્ક્રિપ્ટ તરફ નિર્દેશ કરે છે. પેકેજની ઉંમર અને પ્રકાશક ચકાસણી સ્થિતિ સામે ક્રોસ-ચેક કરો. આ પેટર્ન કાયદેસર પેકેજોમાં દુર્લભ છે અને તે એકમાત્ર સૌથી વિશ્વસનીય સંકેત છે જેનો ફેન્ટમબોટ ફરીથી ઉપયોગ કરે છે.
  • C2 બાઈનરી માટે ઓડિટ. ડાઉનલોડ કરનાર કોઈપણ એક્સોઇસ-યુટિલ્સ: 1.0.9 ઓપરેટરનો C2 સર્વર છે (c2 ELF, sha256 ૧૬૫ફા૯૨ડી…) ડિસ્ક પર. કેશ અને CI આર્ટિફેક્ટ સ્ટોર્સ સ્કેન કરો. બાઈનરી પોતે જ નિષ્ક્રિય છે, પરંતુ વર્કસ્ટેશન પર તેની હાજરી એ સ્પષ્ટ પુરાવો છે કે પેકેજ ઇન્સ્ટોલ કરવામાં આવ્યું હતું.

બંધ રેખા

એક જ ઓપરેટર, એક જ પેકેજ અને એક જ ઇન્સ્ટોલ હૂક 48 કલાકમાં સંપૂર્ણપણે અલગ ધમકીઓ આપી શકે છે. પેલોડ પર નહીં, સ્કેફોલ્ડ પર નજર રાખો.

સ્કા-ટૂલ્સ-સોફ્ટવેર-રચના-વિશ્લેષણ-ટૂલ્સ
તમારા સોફ્ટવેર જોખમોને પ્રાથમિકતા આપો, સુધારણા કરો અને સુરક્ષિત કરો
તમારું મફત ખાતું મેળવો.
કોઈ ક્રેડિટ કાર્ડ જરૂરી નથી.

તમારા સોફ્ટવેર ડેવલપમેન્ટ અને ડિલિવરી સુરક્ષિત કરો

ઝાયજેની પ્રોડક્ટ સ્યુટ સાથે