팬텀봇: 자격 증명 도용에서 봇넷까지

팬텀봇: 계정 정보 도용에서 완벽한 봇넷 키트로 전환한 타이포스쿼팅 캠페인

TL; DR

단일 npm 게시자, deadcode09284814합법적인 업체를 상대로 타이포스쿼팅 캠페인을 벌였습니다. axios chalk-template 2026년 5월 중순 이후 패키지 배송 가능.

이 캠페인은 기존의 계정 정보와 지갑 정보를 탈취하는 악성 프로그램으로 시작하여 데이터를 유출했습니다. Serveo HTTPS 터널.

On 2026-05-17axois-utils:1.0.9운영자는 페이로드를 완전히 바꿔버렸습니다. 동일한 트리플 설치 후크 스캐폴드, 동일한 게시자, 동일한 패키지 이름을 사용했습니다.

하지만 이제 설치 스크립트는 여러 플랫폼에서 사용되는 DDoS 봇넷의 공격 대상이 되었습니다.

페이로드는 ~에게 말을 건다 localhost.run 터널을 생성하고 플러드 명령을 수용하여 감염된 환경을 DDoS 공격이 가능한 봇넷의 일부로 만듭니다.

운영자는 심지어 배송까지 했습니다. C2 서버 바이너리 압축 파일 내부를 보면 자격 증명 도용에서 활성 봇넷 인프라로의 명확한 수급 과정이 드러납니다.

두 개의 패키지와 네 가지 버전이 여전히 레지스트리에 활성화되어 있으며, 현재 한 명의 운영자가 두 모듈을 동시에 실행하고 있습니다.

심각도: 높음.

IOC 헤드라인 게시자 deadcode09284814의 axois-utils 또는 chalk-tempalte 버전

공격 방식: 작동 원리

이 캠페인은 의도적으로 지루한 전달 구조를 기반으로 구축되었습니다. 예를 들어, 매주 수억 건의 다운로드를 기록하는 패키지 이름과 한 글자만 다른, 오타를 이용한 패키지 이름 두 개를 사용했습니다.액시 오스, 분필 템플릿), 그리고 트리플 설치 hooks 실행을 보장하는 것. 흥미로운 점은 그 구조가 무엇인지입니다. 운반하다 — 그리고 운송업체가 다른 것은 아무것도 바꾸지 않고 화물만 변경했다는 사실.

공유된 비계

두 패키지의 모든 게시된 버전은 동일한 세 가지 수명 주기를 선언합니다. hooks in package.json:

"scripts": {    "preinstall":  "node <payload>.js",    "install":     "node <payload>.js",    "postinstall": "node <payload>.js"  } 

세 가지 항목 모두에 페이로드를 나열합니다. hooks 과잉 대응이다. 설치 후 단독으로는 기본 설정으로 실행됩니다. npm 설치선택은 중요합니다. npm install –ignore-scripts 스크립트는 건너뛰지만, 몇 가지 일반적인 워크플로(CI 캐시 복원을 통해 라이프사이클을 다시 실행하는 경우)는 건너뜁니다. hooks 선택적으로 감사하거나, 감사만 하는 개발자 설치 후) 이는 공격자에게 세 번 중복된 선언을 가장 안전한 선택으로 만듭니다.

분필 템플릿 두 번째 메커니즘을 추가합니다. 즉, 다음과 같이 선언합니다. axois-utils:^1.0.7 런타임으로서 의존타이포스쿼팅된 것을 설치합니다. 분필 템플릿 따라서 해당 패키지는 형제 패키지인 typosquat도 함께 불러오며, 두 페이로드가 모두 실행됩니다. 두 패키지는 독립적인 목록이 아니라 서로 연관된 쌍입니다.

A단계 — 자격 증명/지갑 탈취범 (2026년 05월 15일 → 현재)

A단계는 원래 탑재체입니다. 로더는 짧습니다. postinstall.js Serveo HTTPS 역방향 터널을 가리키는 메시지입니다.

// chalk-tempalte/postinstall.js:11-13  const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com";  const C2_PORT = 443;  const C2_PATH = '/collect'; 

Serveo 서브도메인은 목적지 IP를 인코딩합니다.80.200.28.28호스트 이름에 직접 포함되는 것은 해당 서비스에서 흔히 볼 수 있는 관례입니다. 운영자는 단순한 도메인 차단 목록을 피하기 위해 버전 간에 임의의 서브도메인 접두사를 변경하지만, 기본 IP 주소는 절대 변경되지 않습니다.chalk-tempalte:1.0.14 익숙한 8a3e818ea8f11186-80-200-28-28…; 1.0.16 / 1.0.19 / 1.0.20 사용 f04a273bd84c0622-….)

postinstall.js 손대지 마세요 팬텀.js7,667줄로 구성된 "컬렉터" 모듈이 번들로 제공됩니다. 팬텀.js 호스트를 위해 산책을 시켜줍니다:

SSH 개인 키(~/.ssh/*)
.npmrc 콘텐츠 및 기타 npm_* 환경 토큰
AWS, GCP 및 Azure 자격 증명 파일
GitHub 개인 액세스 토큰 정규식(ghp_*, gho_*, ghu_*, ghs_*)
비트코인, 엑소더스, 일렉트럼, 모네로, 라이트코인, 도지코인, 지캐시, 대시용 암호화폐 지갑 아티팩트
재귀적 .env* 걷다 ~/projects, ~/dev, ~/code, ~/workspace그리고 cwd를 설치합니다.
쉘의 역사와 전체 process.env

해당 묶음은 Serveo 터널로 POST됩니다. / 수집난독화 기법도, 가상 머신 방지 논리도, 스테이징도 없습니다. 운영자는 오로지 처리량과 속도에 모든 것을 걸었습니다.

2단계 — PhantomBot DDoS 모집 (2026년 5월 17일, axois-utils:1.0.9 버전만 해당)

2단계에서는 phantom.js와 postinstall.js를 distrube.js라는 단일 파일로 대체합니다(오타는 운영자의 실수입니다). package.json의 3중 후크 구조는 변경되지 않았으며, 패키지는 이름, 범위 및 버전 증가 패턴을 그대로 유지합니다. 겉으로 보기에는 axois-utils:1.0.9가 1.0.6의 사소한 후속 버전처럼 보이지만, 내부적으로는 완전히 다른 악성코드 계열입니다.

distrube.js 운영자 자체 브랜딩 이름을 지정하는 구성 블록으로 시작합니다.

// axois-utils-1.0.9/distrube.js:11-15
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally)
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel
const C2_PORT = 443; // HTTPS port - tunnel handles SSL
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`;

해당 댓글은 키트를 실행할 미래의 운영자를 향한 것입니다("localhost.run HTTPS URL을 사용하세요"). 이 댓글과 봇 클라이언트와 함께 제공되는 내용을 종합해 보면, 이것은 단순한 피해자 페이로드가 아니라 키트 자체라는 것을 알 수 있습니다.

흐름:

  1. 고집 먼저 실행됩니다. 스크립트는 운영체제별로 세 가지 다른 방식으로 설치됩니다(레지스트리 방식). 달리기 + 시작 폴더 + 슈타스크 Windows에서; crontab + 팬텀봇.서비스 systemd 유닛 + .bashrc/.zshrc 추가 + /etc/rc.local 리눅스에서; LaunchAgent com.phantom.bot.plist macOS에서). 지속성 서비스 이름과 LaunchAgent 레이블은 모두 다음과 같습니다. 팬텀봇 / com.phantom.bot그리고 이것이 바로 캠페인 이름의 유래이기도 합니다.
  2. 시스템 정보 유출 이 단계는 한 번만 실행됩니다. 호스트 이름, 플랫폼, 아키텍처, 사용자 이름, CPU/RAM, 네트워크 인터페이스, process.env, 현재 작업 디렉터리, 홈 디렉터리, 노드 버전 및 공용 IP를 포함하는 지문 데이터를 b94b6bcfa27554.lhr.life:443/collect로 POST 요청합니다. 이는 A단계보다 훨씬 온건한 접근 방식입니다. SSH 접근, 지갑 사용, .env 재귀 호출은 허용되지 않습니다. 봇의 목적은 등록이지 탈취가 아닙니다.
  3. 심장 박동 루프 30초마다 b94b6bcfa27554.lhr.life:443/ 주소로 HTTPS POST 요청을 보냅니다. 사용자 에이전트는 PhantomBot/1.0입니다. TLS 검증은 명시적으로 비활성화되어 있습니다(rejectUnauthorized: false). C2 응답은 {type, target, port, duration, threads, method} 형식의 JSON으로 파싱되어 전달됩니다.
  4. 홍수 무기고 6개의 명령과 연결되어 있습니다.
명령 유형 모듈 노트
활성 응답 봇이 자신을 식별합니다
HTTP HTTP 플러드 레이어 7 요청 폭주
HTTPS HTTPS 플러드 HTTP와 동일하며 TLS로 래핑됩니다.
TCP TCP 플러드 65KB 무작위 페이로드 스팸
udp UDP 플러드 65,507바이트 UDP 패킷
빠른 HTTP/2 급속 재설정 DoS 2023년 CVE-2023-44487 기술

다섯 개의 홍수 모듈 모두 목표, 포트, 지속예산 및 스레드 논점 — 해당 봇은 특정 대상을 겨냥하지 않고, 돈을 받고 대량 메일을 보내는 일반적인 봇입니다. 운영자의 피해자 목록은 패키지가 아닌 C2 서버에 있습니다.

이번 업데이트의 새로운 기능 — 배포된 C2 바이너리

A단계는 익숙한 형태입니다: 자격 증명 도용, 설치 후크, 공급업체 터널링을 통한 C2 연결. B단계는... 또한 익숙한 형태입니다. DDoS 봇넷은 수년간 악성 npm 패키지의 단골 소재였습니다. 특이한 점은 운영자가 다음과 같은 방식을 사용했다는 것입니다. 서버 측 npm tarball 안에 있는 키트의 구성 요소:

  • c2 — 4메가바이트 크기의 컴파일된 Go ELF 바이너리 파일
  • c2.go — 해당 바이너리의 426줄짜리 Go 소스 코드

두 파일 모두 설치 후크에 의해 호출되지 않습니다. 피해자 페이로드의 일부도 아닙니다. 문서 파일처럼 패키지 디렉터리에 그냥 놓여 있을 뿐입니다. 가장 가능성이 높은 해석은 공격자가 파일 목록을 제대로 검토하지 않고 개발 작업 트리를 npm에 푸시했다는 것입니다. 이는 명백한 보안 실수이며, 배포된 것은 피해자가 실행하는 클라이언트와 공격자가 실행하는 서버, 이렇게 양면으로 사용 가능한 완전한 키트였습니다.

이 부분이 바로 "턴키 봇넷 키트"라는 표현을 정당화하는 부분입니다. 다운로드한 사람은 누구나 axois-utils:1.0.9 삭제 조치 이전에는 피해자 샘플뿐만 아니라 작동하는 C2 서버도 확보하고 있습니다.

핵심을 한 문장으로 요약하면 다음과 같습니다.

동일한 출판사, 동일한 패키지 이름, 동일한 3중 후크 구조, 동일한 "유령" 브랜딩 — 하지만 탑재된 화물이 수익 창출 모델을 하룻밤 사이에 바꿔놓았습니다."재판매할 수 있는 비밀 정보 수집"에서 "임대할 수 있는 공격 용량 확보"에 이르기까지, 방어자가 주의해야 할 설치 시점의 공격 기법(TTP)은 두 단계 모두 거의 동일합니다. 1단계의 지갑 경로 문자열에 기반한 서명 기반 방어 또는 팬텀.js7,667개 라인으로 구성된 수집기는 2단계를 완전히 놓쳤을 것입니다.

날짜(UTC) 이벤트
2026-05-15 첫 번째 발행: axois-utils:1.0.4 (LAN 테스트 빌드, 개발 장비) 192.168.129.19)
2026-05-15 axois-utils:1.0.6 게시됨 — A단계 C2가 변경됨 80.200.28.28 Serveo 터널을 통해; 출처 댓글 // Change to '80.200.28.28' for public 개발 환경과 프로덕션 환경 간의 전환을 확인합니다.
2026-05-16 chalk-tempalte:1.0.14 1.0.16 게시됨 — 체인 로더 선언 axois-utils:^1.0.7 런타임 종속성으로 인해 Serveo 서브도메인이 변경되었습니다.
2026-05-16 정기적인 npm 검사 중 A단계 캠페인이 발견되었으며, 악성 행위로 확정되었습니다.
2026-05-17 axois-utils:1.0.9 게시됨 — 페이로드 피벗: localhost.run 터널을 통한 PhantomBot DDoS 모집; ​​운영자 측 c2 이진수 및 c2.go tarball에 포함된 소스 코드
2026-05-17 chalk-tempalte:1.0.19 1.0.20 게시됨 - 여전히 A단계(스틸러)임; 운영자는 현재 두 모듈을 병렬로 실행 중
2026-05-17 정기 검사 중 2단계 발견; 모든 항목에 판결 적용 2026-05-17 버전
(전진) 삭제 요청 보고서가 접수된 상태이며, 작성 시점 현재 게시된 4개의 패키지 모두 레지스트리에 여전히 남아 있습니다.

타협의 지표

패키지

생태계 묶음 버전
npm axois-utils (axios의 오타 수정) 1.0.4, 1.0.6, 1.0.9
npm chalk-tempalte (chalk-template의 오타) 1.0.14, 1.0.16, 1.0.19, 1.0.20

저자 정보

분야 가치관
npm 게시자 deadcode09284814
출판사 이메일 phantomdeadcode@tutamail.com
SCM 확인 없음

명령 및 제어

종점 교통편
A f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect Serveo HTTPS 터널
A 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect Serveo HTTPS 터널(이전 버전)
A 80.200.28.28:443/collect 기본 VPS 엔드포인트
B b94b6bcfa27554.lhr.life:443/ localhost.run HTTPS 역터널링

파일 다이제스트(SHA-256)

입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에 SHA-256 노트
c2 (Go ELF, 4MB) 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 운영자 측 C2 서버, 내부에 탑재되어 배송됨 axois-utils:1.0.9
c2.go (426줄) 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 C2 바이너리의 Go 소스 코드
distrube.js 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 B단계 봇 클라이언트
phantom.js (chalk-tempalte:1.0.19) 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 A단계 자격 증명/지갑 수집기
phantom.js (chalk-tempalte:1.0.20) d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 A단계 수집기(1.0.20 버전)
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 A단계 로더는 두 버전 모두에서 바이트 단위로 동일합니다.

귀인 및 동기 부여

우리는 이 캠페인을 다음과 같이 추적합니다. 팬텀봇운영자 자체 브랜드를 가져와서 사용자 에이전트: PhantomBot/1.0 심장 박동 헤더, 팬텀봇.서비스 systemd 유닛, com.phantom.bot LaunchAgent 레이블과 팬텀데드코드@ 이메일 핸들. 운영자는 최소 4개의 아티팩트에서 이 이름을 일관되게 사용합니다.

신호 카탈로그

  • 작성자 - 데드코드09284814 npm에서 사용 가능. 단일 핸들 계정, Tutamail 일회용 이메일, 없음 SCM 검증 완료. 이번 캠페인 외에는 이전 출판 이력이 없습니다.
  • 브랜드 재사용 — “phantom”이 게시자 이메일과 A단계 수집 파일 이름에 나타납니다.팬텀.js), Phase B 지속성 서비스 이름에서 (팬텀봇.서비스LaunchAgent 레이블에 ),com.phantom.bot), 그리고 봇 사용자 에이전트(팬텀봇/1.0).
  • 인프라 — 단일 VPS 80.200.28.28 Serveo 서브도메인 회전을 통해 A단계가 전면에 나타나고, B단계는 다음으로 이동합니다. 로컬호스트.런 역터널 (b94b6bcfa27554.lhr.life두 공급업체의 서비스 모두 무료이며, 운영자 측에서는 아웃바운드 SSH만 필요하므로 저예산, 저보안 운영 환경에 적합합니다.
  • 코드 스타일 — 전체적으로 순수 JavaScript를 사용했으며, 난독화, 문자열 인코딩, VM 방지 검사를 사용하지 않았습니다. 변수 이름은 설명적입니다.stealSystemInfo, 실행 명령, http홍수). 댓글 distrube.js 해당 파일은 미래의 운영자를 직접적으로 언급하며("localhost.run HTTPS URL을 사용하세요"), 단일 공격자가 사용하는 것이 아니라 키트 형태로 재배포될 목적으로 만들어졌음을 시사합니다.
  • OpSec 슬립 — Phase B tarball에는 봇 클라이언트와 운영자 측 C2 서버가 모두 포함되어 있습니다.c2 엘프 + c2.go 출처). 이는 파일 목록을 확인하지 않고 작업 트리를 npm에 푸시한 운영자의 경우와 일치합니다. 운영자가 경험이 부족하거나 키트에 문제가 있는 것입니다. 의미 공개적으로 배포될 예정이며 C2 바이너리는 제품의 일부입니다.
  • 자기확인 - axois-utils:1.0.4 출처 댓글이 포함되어 있습니다 // 공개적으로 사용하려면 '80.200.28.28'로 변경하세요 12번째 줄에서 운영자들이 일반적으로 부인하는 개발/스테이징/프로덕션 진행 과정을 확인시켜 줍니다.

자극

1단계 공격은 직접적인 금융 정보 탈취입니다. 자격 증명, 클라우드 키, GitHub 토큰, 암호화폐 지갑 등은 모두 유동적인 재판매 시장이 있습니다. 2단계 역시 금융적인 공격이지만 간접적입니다. DDoS 공격 대행 서비스("부터")는 분 단위로 공격 용량을 임대하며, 여기에 포함된 것과 같은 봇은 이러한 서비스가 작동하는 데 사용되는 도구입니다. 30초 간격의 하트비트, 일반적인 메시지는 이러한 공격의 핵심 요소입니다. 목표/포트/지속 명령 체계와 5개 프로토콜로 구성된 플러드 공격 무기고는 다음과 같습니다. standard 부터 운영자의 제품입니다.

두 모듈을 동시에 실행 — chalk-tempalte:1.0.19 1.0.20 도둑을 계속해서 배송하세요 axois-utils:1.0.9 봇을 출시한다는 것은 운영자가 1단계 사업을 포기하기보다는 수익원을 분산시키려는 의도임을 시사합니다. 이러한 방향 전환은... 또한, 대체품이 아닙니다.

우리가 주장하지 않는 것

우리는 그 뒤에 있는 실제 신원을 확인할 수 없었습니다. 데드코드09284814 해당 계정은 특정되지 않았으며, 이 캠페인을 특정 위협 행위자, 그룹 또는 국가와 연관 짓지 않습니다. "팬텀"이라는 브랜드 표시는 여러 아티팩트에서 일관성을 보이므로 단일 운영자가 작성한 것으로 추정되지만, C2 바이너리가 키트 형태로 배포되는 방식은 향후 관련 없는 계정에서 동일한 코드를 재사용하는 패키지가 배포될 가능성을 시사합니다.

영향

스쿼트의 정당한 목표 액시 오스 분필 템플릿 자바스크립트 생태계에서 널리 사용되고 있습니다. 액시 오스 alone은 npm에서 가장 많이 다운로드된 패키지 30위 안에 듭니다. 오타가 있는 이름은 실제 이름과 키 입력 한 번만 다르면 됩니다.악소이스액시 오스, 템플릿이 템플릿) 그리고 둘 다 언어학적으로 그럴듯한 오타입니다.

삭제 조치 이전에 악성 버전의 정확한 다운로드 통계를 확보할 수 없었습니다. npm은 패키지 게시가 취소된 후에는 버전별 다운로드 횟수를 저장하지 않습니다. npms.io-스타일 프록시는 이 규모에서 노이즈가 심합니다. 잠금 파일이 패키지 이름으로 해석되는 모든 조직 악소이스 유틸리티 or 분필 템플릿 출판사 제공 데드코드09284814 손상된 것으로 간주해야 합니다. 현재 존재하는 모든 자격 증명을 교체하십시오. 프로세스.env 영향을 받는 호스트에서 운영 체제별 지속성 벡터를 감사하고(아래 "방어자가 해야 할 일" 참조) 종속성을 제거합니다.

새로운 패턴

이번 캠페인은 최근 npm 관련 사건들에서 나타난 변화의 한 단면을 보여줍니다. 설치용 갈고리 비계는 내구성이 뛰어난 자산입니다.페이로드는 교체 가능합니다.같은 출판사, 같은 패키지, 모두 동일합니다. 사전 설치 / 설치 / 설치 후 세 배로 늘어났고, 버전 업데이트 주기까지 동일하다. 달라진 것은 오직 하나뿐이다. axois-utils:1.0.6 axois-utils:1.0.9 그 파일은 hooks 실행. A단계 페이로드(지갑 경로 문자열)를 키로 사용하는 서명 기반 탐지, 팬텀.jsServeo C2 호스트(7,667줄짜리 수집기)는 처음 세 가지 버전을 표시하고 Phase B를 완전히 놓쳤을 것입니다.

우리가 추적해 온 다른 2026년 캠페인에서도 동일한 패턴이 나타납니다. 안정적인 기반을 갖춘 단일 운영자가 자격 증명 탈취, 시험 부정행위 프로그램, 텔레그램 봇을 이용한 데이터 유출, 그리고 이제는 DDoS 공격 모집까지 다양한 공격 방식을 전환하며 사용하고 있습니다. 페이로드 시그니처에 의존하는 방어자들은 모든 캠페인의 두 번째 공격에서 계속해서 패배할 것입니다.

결론은 다음과 같다. 설치 시점의 TTP가 더 나은 신호입니다.. 트리플 설치 후크 선언, 임포트하는 설치 스크립트 HTTPS or 자식 프로세스사용자 시작 폴더에 쓰는 스크립트를 설치하고, 무료 역방향 터널링 서비스(Serveo, 로컬호스트.런ngrok, cloudflared와 같은 도구는 정상적인 패키지에서는 드물게 발견되지만 악성 패키지에서는 흔히 사용됩니다.

수비수들이 해야 할 일

  • 잠금 파일 감사. 모두 검색 패키지 잠금.json / 얀.락 / pnpm-lock.yaml 귀사 조직에서 정확한 문자열을 찾으려면 악소이스 유틸리티 분필 템플릿모든 경기는 타협의 결과라고 생각하세요.
  • 비밀을 회전시키세요 감염된 숙주에서. A단계에서는 SSH, 클라우드, GitHub, npm 및 지갑 자격 증명을 대량으로 수집합니다. 모든 자격 증명이 존재한다고 가정합니다. 프로세스.env, ~ / .ssh, ~/.aws, ~/.npmrc, ~ / .config또는 .env* 영향을 받는 호스트의 파일이 노출되었습니다.
  • 지속성 제거(B단계). Windows에서 삭제 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SystemUpdate, 제거 %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\system-update.bat예산 및 schtasks /delete /tn SystemUpdate /f리눅스에서는, crontab을 -e 제거 @reboot 노드 …, systemctl –user disable –now phantom-bot.service 그런 다음 삭제 ~/.config/systemd/user/phantom-bot.service문지르다 .bashrc / .zshrc / /etc/rc.localmacOS에서는, launchctl unload ~/Library/LaunchAgents/com.phantom.bot.plist 그런 다음 plist 파일을 삭제하세요.
  • C2 호스트를 차단하세요. IOC 테이블에 있는 4개의 C2 엔드포인트를 송신 차단 목록에 추가하세요. *.serveousercontent.com *.lhr.life 역터널 서비스를 사용할 만한 정당한 이유가 없는 환경에서는 해당 서비스를 전면 차단할 수 있습니다.
  • 설치 시간 TTP로 검색페이로드가 아닙니다. 인벤토리 잠금 파일 항목 package.json 선언 사전 설치, 설치예산 및 설치 후 모두 동일한 스크립트를 가리키고 있습니다. 패키지 생성일과 게시자 검증 상태를 교차 확인하십시오. 이러한 패턴은 정상적인 패키지에서는 드물며, PhantomBot이 재사용하는 가장 신뢰할 수 있는 신호입니다.
  • C2 바이너리에 대한 감사입니다. 다운로드한 사람 axois-utils:1.0.9 운영자의 C2 서버를 보유하고 있습니다.c2 엘프, 샤256 165fa92d…디스크에 저장됩니다. 스캔 캐시 및 CI 아티팩트 저장소에도 저장됩니다. 바이너리 파일은 그 자체로는 비활성화 상태이지만, 워크스테이션에 존재한다는 사실 자체가 패키지가 설치되었음을 명확하게 보여줍니다.

마무리 인사

동일한 운영자, 동일한 패키지, 동일한 설치 후크를 사용하더라도 48시간 내에 완전히 다른 위협이 발생할 수 있습니다. 페이로드가 아닌 구조를 주의 깊게 살펴보십시오.

sca-tools-software-composition-analysis-tools
소프트웨어 위험을 우선순위화하고, 해결하고, 보호하십시오.
무료 계정을 만드세요.
신용 카드가 필요하지 않습니다.

소프트웨어 개발 및 제공을 안전하게 보호하세요

Xygeni 제품군과 함께