TL; DR
એક જ npm પ્રકાશક, deadcode09284814, એ કાયદેસર વિરુદ્ધ ટાઇપોસ્ક્વોટ ઝુંબેશ ચલાવી છે axios અને chalk-template મે 2026 ના મધ્યથી પેકેજો.
આ ઝુંબેશ પરંપરાગત ઓળખપત્ર અને વોલેટ ચોરી કરનાર તરીકે શરૂ થઈ હતી, જે ડેટાને એક સર્વિઓ HTTPS ટનલ.
On 2026-05-17, સાથે axois-utils:1.0.9, ઓપરેટરે પેલોડને સંપૂર્ણપણે બદલી નાખ્યો: સમાન ટ્રિપલ ઇન્સ્ટોલ-હૂક સ્કેફોલ્ડ, સમાન પ્રકાશક, સમાન પેકેજ નામ.
પરંતુ ઇન્સ્ટોલ સ્ક્રિપ્ટ હવે ક્રોસ-પ્લેટફોર્મ DDoS બોટનેટ રિક્રુટ છે.
પેલોડ એ સાથે વાત કરે છે localhost.run ટનલ બનાવે છે અને પૂરના આદેશો સ્વીકારે છે, ચેપગ્રસ્ત વાતાવરણને DDoS-સક્ષમ બોટનેટના ભાગમાં ફેરવે છે.
ઓપરેટરે તો મોકલ્યું પણ C2 સર્વર બાઈનરી ટારબોલની અંદર, ઓળખપત્રની ચોરીથી સક્રિય બોટનેટ ઇન્ફ્રાસ્ટ્રક્ચર સુધી સ્પષ્ટ વધારો દર્શાવે છે.
બે પેકેજો, ચાર વર્ઝન હજુ પણ રજિસ્ટ્રીમાં સક્રિય છે, અને એક ઓપરેટર હવે બંને મોડ્યુલોને સમાંતર રીતે ચલાવી રહ્યું છે.
તીવ્રતા: ઉચ્ચ.
હુમલો: તે કેવી રીતે કાર્ય કરે છે
આ ઝુંબેશ ઇરાદાપૂર્વક કંટાળાજનક ડિલિવરી સ્કેફોલ્ડ પર બનાવવામાં આવી છે: બે ટાઇપોસ્ક્વેટ પેકેજ નામો, લાખો સાપ્તાહિક ડાઉનલોડ્સવાળા પેકેજોમાંથી એક અક્ષર દૂર (અક્ષો, ચાક-ટેમ્પલેટ), અને ટ્રિપલ ઇન્સ્ટોલ hooks જે અમલની ખાતરી આપે છે. રસપ્રદ વાત એ છે કે સ્કેફોલ્ડ શું છે વહન કરે છે — અને હકીકત એ છે કે ઓપરેટરે બીજું કંઈ બદલ્યા વિના કાર્ગો બદલી નાખ્યો.
વહેંચાયેલ સ્કેફોલ્ડ
બંને પેકેજોનું દરેક પ્રકાશિત સંસ્કરણ સમાન ત્રણ જીવનચક્ર જાહેર કરે છે hooks in પેકેજ.જેસન:
"scripts": { "preinstall": "node <payload>.js", "install": "node <payload>.js", "postinstall": "node <payload>.js" } ત્રણેય હેઠળ પેલોડની યાદી બનાવવી hooks અતિશય છે - પોસ્ટઇન્સ્ટોલ એકલા ડિફોલ્ટમાં ચાલશે npm સ્થાપિત કરોપસંદગી મહત્વપૂર્ણ છે: npm ઇન્સ્ટોલ કરો - અવગણો-સ્ક્રિપ્ટો સ્ક્રિપ્ટો છોડી દે છે, પરંતુ ઘણા સામાન્ય વર્કફ્લો (CI કેશ તે ફરીથી ચલાવાતા જીવનચક્રને પુનઃસ્થાપિત કરે છે) hooks પસંદગીયુક્ત રીતે, અથવા વિકાસકર્તાઓ જે ફક્ત ઑડિટ કરે છે પોસ્ટઇન્સ્ટોલ) ટ્રિપલ-રિડન્ડન્ટ ઘોષણા કરો, હુમલાખોર માટે સૌથી સલામત શરત.
ચાક-ટેમ્પાલ્ટે બીજી પદ્ધતિ ઉમેરે છે: તે જાહેર કરે છે એક્સોઇસ-યુટિલ્સ:^1.0.7 રનટાઇમ તરીકે અવલંબન. ટાઇપોસ્ક્વેટેડ ઇન્સ્ટોલ કરવું ચાક-ટેમ્પલેટ તેથી સિબલિંગ ટાઇપોસ્ક્વેટ પણ ખેંચાય છે, અને બંને પેલોડ ચાલે છે. બંને પેકેજો એક સંકલિત જોડી છે, સ્વતંત્ર સૂચિઓ નહીં.
તબક્કો A — ઓળખપત્ર / વોલેટ ચોર (2026-05-15 → હાલ)
તબક્કો A એ મૂળ પેલોડ છે. લોડર ટૂંકો છે પોસ્ટઇન્સ્ટોલ.જેએસ જે Serveo HTTPS રિવર્સ-ટનલ તરફ નિર્દેશ કરે છે:
// chalk-tempalte/postinstall.js:11-13 const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com"; const C2_PORT = 443; const C2_PATH = '/collect'; સર્વો સબડોમેન ડેસ્ટિનેશન IP ને એન્કોડ કરે છે (80.200.28.28) સીધા હોસ્ટનામમાં — તે સેવા માટે એક ઓળખી શકાય તેવી પરંપરા. ઓપરેટર સરળ ડોમેન બ્લોકલિસ્ટ્સ ટાળવા માટે આવૃત્તિઓ વચ્ચે રેન્ડમ સબડોમેન ઉપસર્ગ ફેરવે છે, પરંતુ અંતર્ગત IP ક્યારેય ખસે નહીં. (ચાક-ટેમ્પાલ્ટ:1.0.14 વપરાયેલ 8a3e818ea8f11186-80-200-28-28…; ૧.૦.૧૬ / ૧.૦.૧૯ / ૧.૦.૨૦ ઉપયોગ f04a273bd84c0622-….)
પોસ્ટઇન્સ્ટોલ.જેએસ હાથ દૂર કરો ફેન્ટમ.જેએસ, 7,667-લાઇન બંડલ કરેલ "કલેક્ટર" મોડ્યુલ. ફેન્ટમ.જેએસ યજમાનને આ માટે લઈ જાય છે:
SSH ખાનગી કી (~/.ssh/*) |
.npmrc સામગ્રી અને કોઈપણ npm_* env ટોકન્સ |
| AWS, GCP, અને Azure ઓળખપત્ર ફાઇલો |
ગિટહબ પર્સનલ-એક્સેસ-ટોકન રેજેક્સ (ghp_*, gho_*, ghu_*, ghs_*) |
| બિટકોઇન, એક્ઝોડસ, ઇલેક્ટ્રમ, મોનેરો, લાઇટકોઇન, ડોગેકોઇન, ઝેકેશ, ડેશ માટે ક્રિપ્ટો-વોલેટ આર્ટિફેક્ટ્સ |
પુનરાવર્તિત .env* ચાલવું ~/projects, ~/dev, ~/code, ~/workspace, અને cwd ઇન્સ્ટોલ કરો |
શેલ ઇતિહાસ અને સંપૂર્ણ process.env |
બંડલને સર્વિઓ ટનલમાં પોસ્ટ કરવામાં આવે છે / એકત્રિત કરો. કોઈ અસ્પષ્ટતા નથી, કોઈ એન્ટિ-VM લોજિક નથી, કોઈ સ્ટેજીંગ નથી — ઓપરેટરનો આધાર વોલ્યુમ અને ઝડપ પર છે.
તબક્કો B — ફેન્ટમબોટ DDoS ભરતી (2026-05-17, axois-utils: ફક્ત 1.0.9)
ફેઝ B, phantom.js + postinstall.js ને distrube.js નામની એક ફાઇલથી બદલે છે (ટાઇપો ઓપરેટરની ભૂલ છે). package.json માં ટ્રિપલ-હૂક સ્કેફોલ્ડ અપરિવર્તિત છે; પેકેજ એ જ નામ, સ્કોપ અને વર્ઝન-બમ્પ પેટર્ન રાખે છે. બહારથી, axois-utils:1.0.9 1.0.6 ના નાના ફોલો-ઓન જેવું લાગે છે. અંદર, તે એક અલગ માલવેર ફેમિલી છે.
ડિસ્ટ્રુબ.જેએસ એક રૂપરેખાંકન બ્લોક સાથે ખુલે છે જે ઓપરેટરના પોતાના બ્રાન્ડિંગને નામ આપે છે:
// axois-utils-1.0.9/distrube.js:11-15 |
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally) |
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel |
const C2_PORT = 443; // HTTPS port - tunnel handles SSL |
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`; |
આ ટિપ્પણીઓ કીટ ચલાવતા ભાવિ ઓપરેટરને સંબોધવામાં આવી છે ("તમારા લોકલહોસ્ટ.રન HTTPS URL નો ઉપયોગ કરો"). તે, અને બોટ ક્લાયન્ટની બાજુમાં જે મોકલવામાં આવે છે, તે દર્શાવે છે કે આ ફક્ત પીડિત પેલોડ નથી - તે કીટ છે.
પ્રવાહ:
- દ્રઢતા પહેલા ચાલે છે. સ્ક્રિપ્ટ દરેક OS (રજિસ્ટ્રી) માટે ત્રણ અલગ અલગ રીતે ઇન્સ્ટોલ થાય છે. ચલાવો + સ્ટાર્ટઅપ ફોલ્ડર + schtasks વિન્ડોઝ પર; ક્રોન્ટાબ + ફેન્ટમ-બોટ.સર્વિસ સિસ્ટમડી યુનિટ + બૅશ/.zshrc ઉમેરો + /etc/rc.local Linux પર; લોન્ચ એજન્ટ com.phantom.bot.plist macOS પર). પર્સિસ્ટન્સ સર્વિસ નામ અને LaunchAgent લેબલ બંને ફેન્ટમ-બોટ / કોમ.ફેન્ટમ.બોટ, જેમાંથી ઝુંબેશનું નામ પણ આવે છે.
- સિસ્ટમ માહિતી એક્સફાઇલ એકવાર ચાલે છે — એક-શોટ ફિંગરપ્રિન્ટ POST b94b6bcfa27554.lhr.life:443/collect પર હોસ્ટનામ, પ્લેટફોર્મ, આર્ચ, યુઝરનેમ, CPU/RAM, નેટવર્ક ઇન્ટરફેસ, process.env, cwd, homedir, નોડ વર્ઝન અને પબ્લિક IP વહન કરે છે. આ ફેઝ A કરતા ઘણું ઓછું આક્રમક છે: કોઈ SSH નહીં, કોઈ વોલેટ નહીં, કોઈ .env રિકર્ઝન નહીં. બોટનું કામ નોંધણી કરવાનું છે, ચોરી કરવાનું નહીં.
- હૃદયના ધબકારાનો લૂપ દર 30 સેકન્ડે b94b6bcfa27554.lhr.life:443/ પર HTTPS POST ખોલે છે. વપરાશકર્તા-એજન્ટ PhantomBot/1.0 છે. TLS ચકાસણી સ્પષ્ટપણે અક્ષમ છે (rejectUnauthorized: false). C2 પ્રતિભાવને {type, target, port, duration, threads, method} ફોર્મના JSON તરીકે વિશ્લેષિત કરવામાં આવે છે અને મોકલવામાં આવે છે.
- પૂર શસ્ત્રાગાર છ આદેશો સાથે જોડાયેલ છે:
| આદેશ પ્રકાર | મોડ્યુલ | નોંધો |
|---|---|---|
| ટેબલ ટેનિસની રમતનું વેપારી | જીવંતતા જવાબ | બોટ પોતાને ઓળખે છે |
| http | HTTP ફ્લડ | લેયર-7 રિક્વેસ્ટ ફ્લડ |
| https | HTTPS ફ્લડ | http જેવું જ, TLS-આવરિત |
| tcp | TCP પૂર | ૬૫ KB રેન્ડમ-પેલોડ સ્પામ |
| udp | UDP પૂર | ૬૫,૫૦૭-બાઇટ UDP પેકેટ્સ |
| ઝડપી | HTTP/2 રેપિડ-રીસેટ DoS | 2023 CVE-2023-44487 ટેકનિક |
પાંચેય પૂર મોડ્યુલો એક લે છે લક્ષ્ય, પોર્ટ, સમયગાળો, અને સૂત્રો દલીલ — આ બોટ એક સામાન્ય ફોર-હાયર ફ્લડર છે, જે કોઈ ચોક્કસ પીડિતને લક્ષ્યમાં રાખતો નથી. ઓપરેટરની પીડિત યાદી C2 પર રહે છે, પેકેજમાં નહીં.
અહીં નવું શું છે — મોકલેલ C2 બાઈનરી
તબક્કો A એક પરિચિત સ્વરૂપ છે: ઓળખપત્ર ચોરી, ઇન્સ્ટોલ હૂક, વેન્ડર-ટનલ C2. તબક્કો B છે પણ એક પરિચિત સ્વરૂપ — DDoS બોટનેટ્સ વર્ષોથી દૂષિત npm પેકેજોનું એક સાધન રહ્યું છે. અસામાન્ય વાત એ છે કે ઓપરેટરે સર્વર બાજુ npm ટારબોલની અંદરની કીટની વિગતો:
- c2 — 4-મેગાબાઇટ સંકલિત Go ELF બાઈનરી
- c2.go દ્વારા વધુ — તે બાઈનરી માટે 426-લાઇન ગો સોર્સ
કોઈપણ ફાઇલને કોઈપણ ઇન્સ્ટોલ હૂક દ્વારા બોલાવવામાં આવતી નથી. તે પીડિત પેલોડનો ભાગ નથી. તેઓ પેકેજ ડિરેક્ટરીમાં એ જ રીતે બેઠેલા છે જેમ દસ્તાવેજીકરણ ફાઇલ કરે છે. સૌથી વધુ બુદ્ધિગમ્ય વાંચન એ છે કે ઓપરેટરે ફાઇલ સૂચિ - એક વાસ્તવિક OpSec સ્લિપ - ક્યુરેટ કર્યા વિના તેમના ડેવલપમેન્ટ વર્કિંગ ટ્રીને npm પર ધકેલી દીધી હતી અને જે મોકલવામાં આવ્યું હતું તે સંપૂર્ણ બે-બાજુવાળી કીટ છે: પીડિત જે ક્લાયન્ટ ચલાવે છે, અને ઓપરેટર જે સર્વર ચલાવે છે.
આ વાર્તાનો તે ભાગ છે જે "ટર્નકી બોટનેટ કીટ" ફ્રેમિંગને યોગ્ય ઠેરવે છે. જેણે પણ ડાઉનલોડ કર્યું છે એક્સોઇસ-યુટિલ્સ: 1.0.9 ટેકડાઉન પહેલાં ફક્ત પીડિતનો નમૂનો જ નથી - તેમની પાસે કાર્યરત C2 સર્વર પણ છે.
એક વાક્યમાં, ધ પીવટ
એ જ પ્રકાશક, એ જ પેકેજ નામો, એ જ ટ્રિપલ-હૂક સ્કેફોલ્ડ, એ જ "ફેન્ટમ" બ્રાન્ડિંગ - પણ પેલોડે રાતોરાત મુદ્રીકરણ મોડેલ બદલી નાખ્યું: "હું ફરીથી વેચી શકું છું તે લણણીના રહસ્યો" થી "ભાડે પૂર ક્ષમતા જે હું ભાડે આપી શકું છું" સુધી. ડિફેન્ડર્સે જે ઇન્સ્ટોલ-ટાઇમ TTPs પર નજર રાખવી જોઈએ તે બંને તબક્કામાં લગભગ સમાન છે; સિગ્નેચર-આધારિત સંરક્ષણો ફેઝ A ના વોલેટ-પાથ સ્ટ્રિંગ્સ અથવા ફેન્ટમ.જેએસ7,667-લાઇન કલેક્ટર ફેઝ B સંપૂર્ણપણે ચૂકી ગયો હોત.
| તારીખ (UTC) | ઇવેન્ટ |
|---|---|
| 2026-05-15 | પ્રથમ પ્રકાશન: axois-utils:1.0.4 (LAN ટેસ્ટ બિલ્ડ, ડેવલપમેન્ટ રિગ પર 192.168.129.19) |
| 2026-05-15 | axois-utils:1.0.6 પ્રકાશિત — તબક્કો A C2 ને સ્વેપ કરીને 80.200.28.28 સર્વિઓ ટનલ દ્વારા; સ્ત્રોત ટિપ્પણી // Change to '80.200.28.28' for public ડેવલપર-પ્રોડ સ્વેપની પુષ્ટિ કરે છે |
| 2026-05-16 | chalk-tempalte:1.0.14 અને 1.0.16 પ્રકાશિત — સાંકળવાળો લોડર જાહેર કરવો axois-utils:^1.0.7 રનટાઇમ ડિપેન્ડન્સી તરીકે; સર્વો સબડોમેન ફેરવાયું |
| 2026-05-16 | નિયમિત npm સ્કેનિંગ દરમિયાન તબક્કો A ઝુંબેશ મળી; પુષ્ટિ-દૂષિત ચુકાદાઓ લાગુ કરવામાં આવ્યા |
| 2026-05-17 | axois-utils:1.0.9 પ્રકાશિત — પેલોડ પિવોટ: લોકલહોસ્ટ.રન ટનલ દ્વારા ફેન્ટમબોટ ડીડીઓએસ ભરતી; ઓપરેટર-સાઇડ c2 દ્વિસંગી અને c2.go સ્રોત ટારબોલમાં મોકલવામાં આવ્યો |
| 2026-05-17 | chalk-tempalte:1.0.19 અને 1.0.20 પ્રકાશિત — હજુ પણ તબક્કો A (ચોરી કરનાર); ઓપરેટર હવે બંને મોડ્યુલો સમાંતર ચલાવી રહ્યું છે |
| 2026-05-17 | નિયમિત સ્કેનીંગ દરમિયાન ફેઝ B ની શોધ; બધા પર ચુકાદા લાગુ પડ્યા 2026-05-17 આવૃત્તિઓ |
| (ચાલુ) | દૂર કરવાના અહેવાલો બાકી છે; લખાણ સમયે ચારેય પ્રકાશિત પેકેજો રજિસ્ટ્રી પર ઉપલબ્ધ છે. |
સમાધાનના સૂચકાંકો
પેકેજો
| ઇકોસિસ્ટમ | પેકેજ | આવૃત્તિઓ |
|---|---|---|
| npm | axois-utils (એક્સીઓસનો ટાઇપોસ્ક્વોટ) | 1.0.4, 1.0.6, 1.0.9 |
| npm | chalk-tempalte (ચાક-ટેમ્પલેટનો ટાઇપોસ્ક્વેટ) | 1.0.14, 1.0.16, 1.0.19, 1.0.20 |
લેખકની ઓળખ
| ક્ષેત્ર | ભાવ |
|---|---|
| npm પ્રકાશક | deadcode09284814 |
| પ્રકાશકનું ઇમેઇલ | phantomdeadcode@tutamail.com |
| SCM ચકાસણી | કંઈ |
આદેશ અને નિયંત્રણ
| તબક્કો | એન્ડપોઇન્ટ | ટ્રાન્સપોર્ટ |
|---|---|---|
| A | f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect | સર્વિઓ HTTPS ટનલ |
| A | 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect | સર્વિઓ HTTPS ટનલ (પહેલાનું સંસ્કરણ) |
| A | 80.200.28.28:443/collect | અંતર્ગત VPS એન્ડપોઇન્ટ |
| B | b94b6bcfa27554.lhr.life:443/ | localhost.run HTTPS રિવર્સ-ટનલ |
ફાઇલ ડાયજેસ્ટ (SHA-256)
| ફાઇલ | SHA-256 | નોંધો |
|---|---|---|
c2 (ગો ELF, 4 MB) | 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 | ઓપરેટર-બાજુ C2 સર્વર, અંદર મોકલેલ axois-utils:1.0.9 |
c2.go (૪૨૬ પંક્તિઓ) | 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 | C2 બાઈનરી માટે ગો સોર્સ |
distrube.js | 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 | ફેઝ બી બોટ ક્લાયંટ |
phantom.js (chalk-tempalte:1.0.19) | 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 | ફેઝ A ઓળખપત્ર / વોલેટ કલેક્ટર |
phantom.js (chalk-tempalte:1.0.20) | d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 | ફેઝ એ કલેક્ટર (1.0.20 વેરિઅન્ટ) |
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) | ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 | ફેઝ A લોડર, બંને વર્ઝનમાં બાઇટ-સમાન |
એટ્રિબ્યુશન અને પ્રેરણા
અમે આ ઝુંબેશને આ રીતે ટ્રેક કરીએ છીએ ફેન્ટમબોટ, ઓપરેટર પાસેથી પોતાનું બ્રાન્ડિંગ લઈને યુઝર-એજન્ટ: ફેન્ટમબોટ/1.0 હૃદયના ધબકારાના મથાળા, ફેન્ટમ-બોટ.સર્વિસ સિસ્ટમડી યુનિટ, કોમ.ફેન્ટમ.બોટ LaunchAgent લેબલ, અને ફેન્ટમડેડકોડ@ ઇમેઇલ હેન્ડલ. ઓપરેટર ઓછામાં ઓછા ચાર આર્ટિફેક્ટ્સમાં આ નામ વિશે સુસંગત છે.
સિગ્નલ કેટલોગ
- પ્રકાશક - ડેડકોડ09284814 npm પર. સિંગલ-હેન્ડલ એકાઉન્ટ, ટુટામેલ ડિસ્પોઝેબલ ઇમેઇલ, ના SCM ચકાસણી. આ ઝુંબેશ સિવાય કોઈ પૂર્વ પ્રકાશન ઇતિહાસ નથી.
- બ્રાન્ડિંગ પુનઃઉપયોગ — "ફેન્ટમ" પ્રકાશકના ઇમેઇલમાં, ફેઝ A કલેક્ટર ફાઇલનામમાં દેખાય છે (ફેન્ટમ.જેએસ), ફેઝ B પર્સિસ્ટન્સ સર્વિસ નામમાં (ફેન્ટમ-બોટ.સર્વિસ), LaunchAgent લેબલમાં (કોમ.ફેન્ટમ.બોટ), અને બોટમાં યુઝર-એજન્ટ (ફેન્ટમબોટ/1.0).
- ઈન્ફ્રાસ્ટ્રક્ચર — એક જ VPS પર 80.200.28.28 સર્વો સબડોમેન રોટેશન દ્વારા ફેઝ A ને આગળ ધપાવે છે; ફેઝ B a માં ખસે છે લોકલહોસ્ટ.રન રિવર્સ-ટનલ (b94b6bcfa27554.lhr.life દ્વારા વધુ). બંને વિક્રેતા સેવાઓ મફત છે અને ઓપરેટર તરફથી ફક્ત આઉટબાઉન્ડ SSH ની જરૂર પડે છે, જે ઓછા બજેટ, ઓછા OpSec સેટઅપ્સ સાથે સુસંગત છે.
- કોડ શૈલી — સમગ્ર જગ્યાએ સાદી જાવાસ્ક્રિપ્ટ; કોઈ અસ્પષ્ટતા નહીં, કોઈ સ્ટ્રિંગ એન્કોડિંગ નહીં, કોઈ એન્ટિ-VM તપાસ નહીં. ચલ નામો વર્ણનાત્મક છે (સિસ્ટમ ઇન્ફો ચોરી કરો, એક્ઝિક્યુટ કમાન્ડ, httpપૂર). ટિપ્પણીઓ ડિસ્ટ્રુબ.જેએસ ભવિષ્યના ઓપરેટરને સીધો સંબોધિત કરો ("તમારા લોકલહોસ્ટ.રન HTTPS URL નો ઉપયોગ કરો"), જે સૂચવે છે કે ફાઇલનો હેતુ એક કિટ તરીકે ફરીથી વિતરિત કરવાનો હતો, એક પણ હુમલાખોર દ્વારા ઉપયોગમાં લેવાનો નહોતો.
- ઓપ્સેક સ્લિપ — ફેઝ B ટારબોલ બોટ ક્લાયન્ટ અને ઓપરેટર-સાઇડ C2 સર્વર બંનેને મોકલે છે (c2 ઇએલએફ + c2.go દ્વારા વધુ સ્ત્રોત). આ એક ઓપરેટર સાથે સુસંગત છે જેણે ફાઇલ સૂચિનું ઑડિટ કર્યા વિના તેમના કાર્યકારી વૃક્ષને npm પર ધકેલ્યું. કાં તો ઓપરેટર બિનઅનુભવી છે, અથવા કીટ છે અર્થ જાહેરમાં વિતરિત કરવા માટે અને C2 બાઈનરી ઉત્પાદનનો ભાગ છે.
- સ્વ-પુષ્ટિ - એક્સોઇસ-યુટિલ્સ: 1.0.4 સ્રોત ટિપ્પણી શામેલ છે // જાહેર જનતા માટે '80.200.28.28' માં બદલો લાઇન ૧૨ પર, વિકાસ / સ્ટેજીંગ / ઉત્પાદન પ્રગતિની પુષ્ટિ કરે છે જે ઓપરેટરો સામાન્ય રીતે નકારે છે.
પ્રોત્સાહન
ફેઝ A પેલોડ સીધી નાણાકીય ચોરી છે: ઓળખપત્રો, ક્લાઉડ કી, ગિટહબ ટોકન્સ અને ક્રિપ્ટો વોલેટ્સ બધામાં પ્રવાહી પુનર્વેચાણ બજારો છે. ફેઝ B પણ નાણાકીય છે, પરંતુ પરોક્ષ: DDoS-for-hire ("booter") સેવાઓ મિનિટે ફ્લડ ક્ષમતા ભાડે લે છે, અને અહીં મોકલવામાં આવેલા બોટ્સ જેવા બોટ્સ તે સેવાઓની ઇન્વેન્ટરી છે જેના પર તે ચાલે છે. 30-સેકન્ડના હાર્ટબીટ, સામાન્ય લક્ષ્ય/પોર્ટ/સમયગાળો કમાન્ડ સ્કીમા, અને પાંચ-પ્રોટોકોલ ફ્લડ આર્સેનલ છે standard બુટર ઓપરેટરનું ઉત્પાદન.
બંને મોડ્યુલોને સમાંતર રીતે ચલાવવું — ચાક-ટેમ્પાલ્ટ:1.0.19 અને 1.0.20 ચોરી કરનારને મોકલવાનું ચાલુ રાખો જ્યારે એક્સોઇસ-યુટિલ્સ: 1.0.9 બોટ મોકલે છે — સૂચવે છે કે ઓપરેટર ફેઝ A છોડી દેવાને બદલે આવકના પ્રવાહોનું હેજિંગ કરી રહ્યો છે. પીવોટ એ વધુમાં, રિપ્લેસમેન્ટ નહીં.
આપણે જેનો દાવો નથી કરતા
અમે તેની પાછળની વાસ્તવિક ઓળખની પુષ્ટિ કરી શક્યા નથી ડેડકોડ09284814 હેન્ડલ, અને અમે આ ઝુંબેશને કોઈપણ નામાંકિત ધમકી આપનાર અભિનેતા, જૂથ અથવા દેશને આભારી નથી. "ફેન્ટમ" બ્રાન્ડિંગ એક જ ઓપરેટર સૂચવવા માટે આર્ટિફેક્ટ્સમાં પૂરતું સુસંગત છે, પરંતુ C2 બાઈનરીનું કીટ-શૈલી શિપિંગ એ શક્યતા ખોલે છે કે અસંબંધિત હેન્ડલ્સમાંથી ભાવિ પેકેજો સમાન કોડનો ફરીથી ઉપયોગ કરશે.
અસર, વલણો અને ડિફેન્ડર્સે શું કરવું જોઈએ
અસર
કાયદેસર સ્ક્વોટ લક્ષ્યો અક્ષો અને ચાક-ટેમ્પલેટ જાવાસ્ક્રિપ્ટ ઇકોસિસ્ટમમાં વ્યાપકપણે આધારિત છે; અક્ષો એકમાત્ર નામ ટોચના ત્રીસ સૌથી વધુ ડાઉનલોડ થયેલા npm પેકેજોમાં આવે છે. ટાઇપોસ્ક્વોટ નામો વાસ્તવિક નામોથી એક કીસ્ટ્રોક દૂર છે (એક્ઝોઇસ ↔ અક્ષો, ટેમ્પાલ્ટે ↔ નમૂનો), અને બંને ભાષાકીય રીતે સંભવિત ખોટી જોડણીઓ છે.
દૂર કરતા પહેલા અમે દૂષિત સંસ્કરણો માટે વિશ્વસનીય ડાઉનલોડ આંકડા મેળવી શક્યા નહીં — પેકેજ અપ્રકાશિત થયા પછી npm પ્રતિ-વર્ઝન ડાઉનલોડ ગણતરીઓ જાળવી રાખતું નથી, અને npms.io દ્વારા વધુ-શૈલી પ્રોક્સીઓ આ સ્કેલ પર ઘોંઘાટીયા છે. કોઈપણ સંસ્થા જેની લોકફાઇલ નામના પેકેજ પર રિઝોલ્યુશન કરે છે એક્સોઇસ-યુટિલ્સ or ચાક-ટેમ્પાલ્ટે પ્રકાશક તરફથી ડેડકોડ09284814 સમાધાનકારી તરીકે ગણવું જોઈએ: હાજર દરેક ઓળખપત્રને ફેરવો process.env અસરગ્રસ્ત હોસ્ટ પર, OS દીઠ પર્સિસ્ટન્સ વેક્ટર્સનું ઑડિટ કરો (નીચે "ડિફેન્ડર્સે શું કરવું જોઈએ" જુઓ), અને ડિપેન્ડન્સી દૂર કરો.
ઉભરતા દાખલાઓ
આ ઝુંબેશ તાજેતરના npm ઘટનાઓમાં આપણે જોયેલા પરિવર્તનનું ઉદાહરણ આપે છે: ઇન્સ્ટોલ-હૂક સ્કેફોલ્ડ એ ટકાઉ સંપત્તિ છે; પેલોડ સ્વેપેબલ છે. એ જ પ્રકાશક, એ જ પેકેજ, એ જ પ્રીઇન્સ્ટોલ કરો / ઇન્સ્ટોલ કરો / પોસ્ટઇન્સ્ટોલ ટ્રિપલ, અને તે પણ સમાન વર્ઝન-બમ્પ કેડન્સ - એકમાત્ર વસ્તુ જે વચ્ચે બદલાઈ ગઈ એક્સોઇસ-યુટિલ્સ: 1.0.6 અને એક્સોઇસ-યુટિલ્સ: 1.0.9 ફાઇલ શું હતી hooks ચલાવો. ફેઝ A પેલોડ (વોલેટ-પાથ સ્ટ્રિંગ્સ, ફેન્ટમ.જેએસ(7,667-લાઇન કલેક્ટર, સર્વિયો C2 હોસ્ટ) પહેલા ત્રણ વર્ઝનને ફ્લેગ કરી શક્યું હોત અને ફેઝ B સંપૂર્ણપણે ચૂકી ગયો હોત.
આ જ પેટર્ન 2026 માં અમે ટ્રેક કરેલા અન્ય ઝુંબેશોમાં પણ જોવા મળે છે: સ્થિર સ્કેફોલ્ડ ધરાવતો એક જ ઓપરેટર, ઓળખપત્રોની ચોરી, પરીક્ષામાં છેતરપિંડી કરનારા ક્લાયન્ટ્સ, ટેલિગ્રામ-બોટ એક્સફિલ અને હવે DDoS ભરતી. પેલોડ સહીઓ પર આધાર રાખનારા ડિફેન્ડર્સ દરેક ઝુંબેશના બીજા રાઉન્ડમાં હારતા રહેશે.
પરિણામ એ છે કે ઇન્સ્ટોલ-ટાઇમ TTP એ વધુ સારા સિગ્નલ છે. ટ્રિપલ ઇન્સ્ટોલ-હૂક ડિક્લેરેશન, આયાત કરતી સ્ક્રિપ્ટો ઇન્સ્ટોલ કરો https or બાળ_પ્રક્રિયા, યુઝર-સ્ટાર્ટઅપ ફોલ્ડર્સમાં લખતી સ્ક્રિપ્ટો ઇન્સ્ટોલ કરો, અને ફ્રી રિવર્સ-ટનલ સેવાઓ પર હોસ્ટનામ રિઝોલ્યુશન કરતી સ્ક્રિપ્ટો ઇન્સ્ટોલ કરો (સર્વિઓ, લોકલહોસ્ટ.રન, ngrok, cloudflared) બધા કાયદેસર પેકેજોમાં દુર્લભ છે અને દૂષિત પેકેજોમાં સામાન્ય છે.
ડિફેન્ડર્સે શું કરવું જોઈએ
- લોકફાઇલ ઑડિટ. દર શોધો package-lock.json / યાર્ન.લોક / pnpm-lock.yaml દ્વારા વધુ ચોક્કસ શબ્દમાળાઓ માટે તમારી સંસ્થામાં એક્સોઇસ-યુટિલ્સ અને ચાક-ટેમ્પાલ્ટેકોઈપણ મેચને સમાધાન તરીકે ગણો.
- રહસ્યો ફેરવો અસરગ્રસ્ત યજમાનો પર. ફેઝ A માં બલ્ક-હાર્વેસ્ટેડ SSH, ક્લાઉડ, GitHub, npm અને વોલેટ ઓળખપત્રો. હાજર દરેક ઓળખપત્રને ધારો process.env, . / .ssh, ~/.aws, ~/.npmrc, . / .કનફિગ, અથવા કોઈપણ .env* અસરગ્રસ્ત હોસ્ટ પરની ફાઇલ ખુલ્લી થઈ ગઈ છે.
- દ્રઢતા દૂર કરો (તબક્કો B). Windows પર, કાઢી નાખો HKCU\સોફ્ટવેર\માઈક્રોસોફ્ટ\વિન્ડોઝ\કરન્ટવર્ઝન\રન\સિસ્ટમઅપડેટ, દૂર કરો %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\system-update.bat, અને schtasks /delete /tn સિસ્ટમઅપડેટ /fલિનક્સ પર, crontab -e અને દૂર કરો @રીબૂટ નોડ …, systemctl –વપરાશકર્તા અક્ષમ –હવે phantom-bot.service પછી કા deleteી નાંખો ~/.config/systemd/user/phantom-bot.service, ઝાડી બૅશ / .zshrc / /etc/rc.local. macOS પર, launchctl અનલોડ ~/Library/LaunchAgents/com.phantom.bot.plist પછી પ્લિસ્ટ કાઢી નાખો.
- C2 હોસ્ટ્સને બ્લોક કરો. IOC કોષ્ટકમાં ચાર C2 એન્ડપોઇન્ટ્સને તમારી બહાર નીકળવાની બ્લોકલિસ્ટમાં ઉમેરો. *.serveousercontent.com અને *.lhr.life જો તમારા વાતાવરણમાં રિવર્સ-ટનલ સેવાઓનો કોઈ કાયદેસર ઉપયોગ ન હોય તો તેને મોટા પાયે અવરોધિત કરી શકાય છે.
- ઇન્સ્ટોલ-ટાઇમ TTP દ્વારા શોધો, પેલોડ નહીં. ઇન્વેન્ટરી લોકફાઇલ એન્ટ્રીઓ જેની પેકેજ.જેસન જાહેર પ્રીઇન્સ્ટોલ કરો, ઇન્સ્ટોલ કરો, અને પોસ્ટઇન્સ્ટોલ બધા એક જ સ્ક્રિપ્ટ તરફ નિર્દેશ કરે છે. પેકેજની ઉંમર અને પ્રકાશક ચકાસણી સ્થિતિ સામે ક્રોસ-ચેક કરો. આ પેટર્ન કાયદેસર પેકેજોમાં દુર્લભ છે અને તે એકમાત્ર સૌથી વિશ્વસનીય સંકેત છે જેનો ફેન્ટમબોટ ફરીથી ઉપયોગ કરે છે.
- C2 બાઈનરી માટે ઓડિટ. ડાઉનલોડ કરનાર કોઈપણ એક્સોઇસ-યુટિલ્સ: 1.0.9 ઓપરેટરનો C2 સર્વર છે (c2 ELF, sha256 ૧૬૫ફા૯૨ડી…) ડિસ્ક પર. કેશ અને CI આર્ટિફેક્ટ સ્ટોર્સ સ્કેન કરો. બાઈનરી પોતે જ નિષ્ક્રિય છે, પરંતુ વર્કસ્ટેશન પર તેની હાજરી એ સ્પષ્ટ પુરાવો છે કે પેકેજ ઇન્સ્ટોલ કરવામાં આવ્યું હતું.
બંધ રેખા
એક જ ઓપરેટર, એક જ પેકેજ અને એક જ ઇન્સ્ટોલ હૂક 48 કલાકમાં સંપૂર્ણપણે અલગ ધમકીઓ આપી શકે છે. પેલોડ પર નહીં, સ્કેફોલ્ડ પર નજર રાખો.




