PhantomBot ишеним грамоталарын уурдоодон ботнетке чейин

PhantomBot: Ишеним грамоталарын уурдоодон даяр ботнет комплектине өткөн Typosquat кампаниясы

TL; DR

Бир гана npm басмаканасы, deadcode09284814мыйзамдууга каршы каталарды оңдоо боюнча кампания жүргүздү axios жана chalk-template 2026-жылдын май айынын ортосунан берки пакеттер.

Өнөктүк кадимки ишеним грамоталарын жана капчык уурдоо, маалыматтарды а Serveo HTTPS туннели.

On 2026-05-17менен axois-utils:1.0.9, оператор пайдалуу жүктөмдү толугу менен алмаштырды: ошол эле үч орнотуу илгичи, ошол эле жарыялоочу, ошол эле пакеттин аталышы.

Бирок орнотуу скрипти эми DDoS ботнеттерине ар кандай платформаларда тартылган.

Пайдалуу жүк ... менен сүйлөшөт localhost.run туннель аркылуу өтөт жана суу ташкынынын буйруктарын кабыл алат, инфекцияланган чөйрөлөрдү DDoS-мүмкүнчүлүгү бар ботнеттин бир бөлүгүнө айландырат.

Оператор ал тургай жөнөттү C2 серверинин бинардык файлы тарболдун ичинде, ишеним грамоталарын уурдоодон активдүү ботнет инфраструктурасына чейин ачык эскалацияны көрсөтүп турат.

Эки пакет, төрт версия реестрде дагы эле активдүү жана бир оператор эки модулду тең параллель иштетип жатат.

Оордугу: жогору.

IOCтун башкы макаласы Басмакананын deadcode09284814 версиясынан алынган каалаган axois-utils же chalk-tempalte версиясы

Кол салуу: ал кантип иштейт

Өнөктүк атайылап тажатма жеткирүү платформасына негизделген: эки ката басылган пакеттин аталышы, жумасына жүз миллиондогон жүктөлүп алынган пакеттерден бир тамга айырмаланып турат (Axios, бор шаблону), жана үч жолу орнотуу hooks аткарууну кепилдейт. Кызыгы, курулуш аянты эмнеде ашырат — жана оператор башка эч нерсени өзгөртпөстөн жүктү алмаштыргандыгы.

Биргелешкен курулуш каркасы

Эки пакеттин ар бир жарыяланган версиясында бирдей үч жашоо цикли жарыяланат hooks in package.json:

"scripts": {    "preinstall":  "node <payload>.js",    "install":     "node <payload>.js",    "postinstall": "node <payload>.js"  } 

Үчөөнүн тең астында пайдалуу жүктү тизмелөө hooks ашыкча — орнотуудан кийинки жалгыз демейки режимде иштейт npm орнотууТандоо маанилүү: npm орнотуу –скрипттерди этибарга албоо скрипттерди өткөрүп жиберет, бирок бир нече кеңири таралган жумуш агымдары (CI кэши кайра иштетилген жашоо циклин калыбына келтирет hooks тандап алуу менен, же бир гана аудит жүргүзгөн иштеп чыгуучулар орнотуудан кийинки) чабуулчу үчүн эң коопсуз коюм катары үч эселенген ашыкча декларация жасаңыз.

бор-шаблон экинчи механизмди кошот: ал жарыялайт axois-utils:^1.0.7 иштөө убактысы катары көз карандылыгыtyposquatted орнотуу бор шаблону ошондуктан, бир тууган typosquatты да тартат жана эки пайдалуу жүктөм тең иштейт. Эки пакет тең координацияланган жуп, көз карандысыз тизмелер эмес.

А фазасы — ишеним грамотасы / капчык уурдоочу (2026-05-15 → азыркыга чейин)

А фазасы баштапкы пайдалуу жүк. Жүктөөчү кыска postinstall.js ал Serveo HTTPS тескери туннелин көрсөтөт:

// chalk-tempalte/postinstall.js:11-13  const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com";  const C2_PORT = 443;  const C2_PATH = '/collect'; 

Serveo субдомени көздөгөн IP дарегин коддойт (80.200.28.28) түздөн-түз хост атында — ал кызмат үчүн таанымал конвенция. Оператор домендин жөнөкөй блок тизмелеринен качуу үчүн кокустук субдомен префиксин версиялардын ортосунда айлантат, бирок негизги IP эч качан жылбайт. (бор-темпалте:1.0.14 колдонулган 8a3e818ea8f11186-80-200-28-28…; 1.0.16 / 1.0.19 / 1.0.20 колдонуу f04a273bd84c0622-….)

postinstall.js колдорун phantom.js, 7,667 саптан турган топтомдогу "коллектор" модулу. phantom.js кожоюнду төмөнкү үчүн ээрчитип барат:

SSH жеке ачкычтары (~/.ssh/*)
.npmrc мазмуну жана ар кандай npm_* айлана токендери
AWS, GCP жана Azure грамота файлдары
GitHub жеке мүмкүндүк алуу токенинин регекси (ghp_*, gho_*, ghu_*, ghs_*)
Bitcoin, Exodus, Electrum, Monero, Litecoin, Dogecoin, Zcash, Dash үчүн крипто-капчык артефакттары
Рекурсивдүү .env* басып өтүү ~/projects, ~/dev, ~/code, ~/workspaceжана cwd орнотуу
Shell тарыхтары жана толук маалымат process.env

Топтом Сервео туннелине төмөнкү даректе POST аркылуу жөнөтүлөт: /чогултууЭч кандай баш аламандык, виртуалдык машинага каршы логика, сахналаштыруу жок — оператордун коюму көлөмгө жана ылдамдыкка байланыштуу.

B фазасы — PhantomBot DDoS жалдоо (2026-05-17, axois-utils: 1.0.9 гана)

B фазасы phantom.js + postinstall.js файлдарын distrube.js деп аталган бир файл менен алмаштырат (ката оператордуку). package.json файлындагы үч илгичтүү каркас өзгөрүүсүз калган; пакет ошол эле аталышты, көлөмдү жана версиянын көтөрүлүү үлгүсүн сактап калат. Сырттан караганда, axois-utils:1.0.9 1.0.6 версиясынын кошумча версиясы сыяктуу көрүнөт. Ичинде ал башка зыяндуу программалык камсыздоонун үй-бүлөсү.

distrube.js оператордун өзүнүн брендин атаган конфигурация блогу менен ачылат:

// axois-utils-1.0.9/distrube.js:11-15
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally)
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel
const C2_PORT = 443; // HTTPS port - tunnel handles SSL
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`;

Комментарийлер комплектти иштетип жаткан келечектеги операторго багытталган ("localhost.run HTTPS URL дарегиңизди колдонуңуз"). Бул, бот кардарынын жанында жөнөтүлгөн нерсе, бул жөн гана жабырлануучунун пайдалуу жүктөмү эмес, бул комплект экенин билдирет.

Агым:

  1. тырышчаактык биринчи иштейт. Скрипт өзүн ОС үчүн үч башка жол менен орнотот (реестр Run + Баштоо папкасы + schtasks Windows'то; crontab + фантом-бот.кызматы системалык блок + .bashrc/.zshrc кошуу + /etc/rc.local Linux'та; LaunchAgent com.phantom.bot.plist macOS'то). Туруктуулук кызматынын аталышы жана LaunchAgent энбелгиси экөө тең арбак-бот / com.phantom.bot, ошондой эле өнөктүктүн аталышы ушул жерден келип чыккан.
  2. Система маалыматын чыгаруу бир жолу иштейт — b94b6bcfa27554.lhr.life:443/collect дарегине бир жолу POST аркылуу манжа изин жөнөтөт, ал хосттун атын, платформаны, archти, колдонуучуну, CPU/RAMди, тармак интерфейстерин, process.envди, cwdди, homedirди, node версиясын жана жалпыга ачык IP дарегин камтыйт. Бул А фазасына караганда алда канча аз агрессивдүү: SSH жок, капчык жок, .env рекурсия жок. Боттун милдети - каттоо, уурдоо эмес.
  3. Жүрөктүн кагышынын цикли b94b6bcfa27554.lhr.life:443/ дарегине ар бир 30 секунд сайын HTTPS POST ачат. Колдонуучу-Агент - PhantomBot/1.0. TLS текшерүүсү ачык түрдө өчүрүлгөн (rejectUnauthorized: false). C2 жообу {type, target, port, duration, threads, method} формасындагы JSON катары талданат жана жөнөтүлөт.
  4. Суу ташкынынын арсеналы алты буйрукка туташтырылган:
Буйрук түрү Module жазуулар
пинг Жандуулукка жооп Бот өзүн аныктайт
HTTP HTTP сел 7-деңгээлдеги суроо-талап ташкыны
HTTPS HTTPS ташкыны http менен бирдей, TLS менен оролгон
tcp TCP суу ташкыны 65 КБ кокустук жүктөө спамы
пуд UDP суу ташкыны 65 507 байттык UDP пакеттери
тез HTTP/2 тез баштапкы абалга келтирүү DoS 2023 CVE-2023-44487 ыкмасы

Беш суу ташкынынын модулунун баары бир бута, порт, узактыгы, жана темалар аргумент — бот – бул жалданма флоудер, ал кандайдыр бир белгилүү бир жабырлануучуга багытталган эмес. Оператордун жабырлануучулардын тизмеси пакетте эмес, C2де жайгашкан.

Бул жерде эмне жаңылык бар — жөнөтүлгөн C2 бинардык файлы

А фазасы тааныш формада: ишеним грамоталарын уурдоо, орнотуу үчүн илмек, сатуучу тарабынан туннелденген C2. В фазасы дагы тааныш форма — DDoS ботнеттери көп жылдар бою зыяндуу npm пакеттеринин бир бөлүгү болуп келген. Адаттан тыш нерсе, оператор жөнөткөн сервер тарабы npm тарболунун ичиндеги комплекттин:

  • c2 — 4 мегабайттык компиляцияланган Go ELF бинардык файлы
  • c2.go — ошол экилик файл үчүн 426 саптуу Go булагы

Эч бир файл орнотуу хоок тарабынан чакырылбайт. Алар жабырлануучунун пайдалуу жүктөмүнүн бир бөлүгү эмес. Алар документтер файлы сыяктуу эле пакет каталогунда жайгашкан. Эң ишенимдүү окуу, оператор өзүнүн иштеп чыгуучу жумушчу дарагын файлдардын тизмесин түзбөстөн npmге жылдырган - чыныгы OpSec слипи - жана жөнөтүлгөн нерсе толук эки тараптуу комплект: кардар жабырлануучуну иштетет жана оператор иштеткен серверди иштетет.

Бул окуянын "буйрукка даяр ботнет комплекти" алкагын актаган бөлүгү. Жүктөп алгандардын баарына axois-utils:1.0.9 Жок кылуудан мурун жабырлануучунун үлгүсү гана эмес, алардын иштеп жаткан C2 сервери да бар.

Бир сүйлөм менен айтканда, бурулуш чекит

Ошол эле басмакана, ошол эле таңгактардын аталыштары, ошол эле үч илгичтүү каркас, ошол эле "фантом" брендинги — бирок пайдалуу жүк бир түндө акча табуу моделин өзгөрттү: "кайра сата турган түшүм жыйноо сырларынан" "ижарага ала турган ижарага берилүүчү суу ташкынынын кубаттуулугуна" чейин. Коргоочулар байкап турушу керек болгон орнотуу убактысындагы TTPлер эки фазада тең дээрлик бирдей; кол тамгага негизделген коргонуулар А фазасынын капчык жолунун саптарына же phantom.jsАнын 7,667 линиялуу коллекционери В фазасын толугу менен өткөрүп жибермек.

Дата (UTC) окуя
2026-05-15 Биринчи басылма: axois-utils:1.0.4 (LAN тесттик түзүлүшү, иштеп чыгуучу түзүлүш 192.168.129.19)
2026-05-15 axois-utils:1.0.6 жарыяланган — А фазасы C2 менен алмаштырылган 80.200.28.28 Serveo туннели аркылуу; булактын комментарийи // Change to '80.200.28.28' for public иштеп чыгуучу→продукция алмашуусун ырастайт
2026-05-16 chalk-tempalte:1.0.14 жана 1.0.16 жарыяланган — чынжырлуу жүктөгүчтү жарыялоо axois-utils:^1.0.7 иштөө убактысына көз карандылык катары; Serveo субдомени айландырылган
2026-05-16 А фазасындагы кампания кадимки npm сканерлөө учурунда аныкталды; тастыкталган зыяндуу өкүмдөр колдонулду
2026-05-17 axois-utils:1.0.9 жарыяланган — пайдалуу жүктөө пивоту: PhantomBot DDoS localhost.run туннели аркылуу жалдоо; оператор тарабында c2 бинардык жана c2.go булак тарболдо жеткирилген
2026-05-17 chalk-tempalte:1.0.19 жана 1.0.20 жарыяланган — дагы эле А фазасы (уурдоочу); оператор азыр эки модулду тең параллель иштетип жатат
2026-05-17 Кадимки сканерлөө учурунда В фазасын аныктоо; өкүмдөр бардык тармактарга колдонулган 2026-05-17 туру
(уланууда) Алып салуу боюнча отчеттор күтүлүүдө; жарыяланган төрт пакеттин баары жазылып жаткан учурда реестрде жеткиликтүү бойдон калууда

Компромисс көрсөткүчтөрү

пакеттер

Экосистемалык таңгак туру
КЭУБ axois-utils (axios typoskvat) 1.0.4, 1.0.6, 1.0.9
КЭУБ chalk-tempalte (typosquat of boil-template) 1.0.14, 1.0.16, 1.0.19, 1.0.20

Автордун инсандыгы

талаа маани
npm басмаканасы deadcode09284814
Басмакананын электрондук почтасы phantomdeadcode@tutamail.com
SCM текшерүү эч ким

Буйрук жана башкаруу

этап акыркы чекити ташуу
A f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect Serveo HTTPS туннели
A 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect Serveo HTTPS туннели (мурунку версиясы)
A 80.200.28.28:443/collect Негизги VPS акыркы чекити
B b94b6bcfa27554.lhr.life:443/ localhost.run HTTPS тескери туннели

Файл дайджесттери (SHA-256)

File SHA-256 жазуулар
c2 (Go ELF, 4 МБ) 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 Оператор тарабындагы C2 сервери, ичинде жеткирилет axois-utils:1.0.9
c2.go (426 сап) 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 C2 бинардык файлы үчүн булакка өтүңүз
distrube.js 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 В фазасындагы бот кардары
phantom.js (chalk-tempalte:1.0.19) 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 А фазасындагы сертификат / капчык чогултуучу
phantom.js (chalk-tempalte:1.0.20) d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 А фазасындагы коллектор (1.0.20 варианты)
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 А фазасындагы жүктөгүч, эки версияда тең байттары боюнча бирдей

Атрибуция жана мотивация

Биз бул өнөктүктү төмөнкүдөй көзөмөлдөйбүз PhantomBot, оператордун өзүнүн брендингин алуу Колдонуучу-Агент: PhantomBot/1.0 жүрөктүн согушу, фантом-бот.кызматы системалык бирдик, com.phantom.bot LaunchAgent энбелгиси жана фантом өлүү коду@ электрондук почта дареги. Оператор бул аталыш боюнча кеминде төрт артефакт боюнча ырааттуу.

Сигналдар каталогу

  • бастырып чыгаруучу адам - өлүк код 09284814 npm'де. Бир колдонуучу аккаунту, Tutamail бир жолку электрондук почтасы, жок SCM текшерүү. Бул өнөктүктөн кийинки мурунку жарыялоо тарыхы жок.
  • Брендди кайра колдонуу — "фантом" басмакананын электрондук почтасында, А фазасынын коллекционеринин файл аталышында пайда болот (phantom.js), В фазасынын туруктуулук кызматынын аталышында (фантом-бот.кызматы), LaunchAgent энбелгисинде (com.phantom.bot), жана User-Agent ботунда (PhantomBot/1.0).
  • түркүк — Бир гана VPS 80.200.28.28 Сервеонун субдоменинин айлануусу аркылуу А фазасынын фронттору; В фазасы а га жылат localhost.run тескери туннель (b94b6bcfa27554.lhr.life). Сатуучунун эки кызматы тең акысыз жана оператор тарабынан тышкы SSH гана талап кылынат, бул бюджети төмөн, OpSec жөндөөлөрүнө ылайык келет.
  • Код стили — Жөнөкөй JavaScript; эч кандай чаташтыруу жок, сап коддоо жок, анти-VM текшерүүлөрү жок. Өзгөрмөлөрдүн аттары сүрөттөмөлүү (уурдооСистема маалыматы, аткарууCommand, httpFlood). Комментарийлер distrube.js келечектеги операторго түз кайрылыңыз ("localhost.run HTTPS URL дарегиңизди колдонуңуз"), бул файл бир гана чабуулчу тарабынан эмес, комплект катары кайра таратылышы керек болгонун билдирет.
  • OpSec слипи — B фазасындагы тарбол бот кардарын жана оператор тарабындагы C2 серверин жөнөтөт (c2 ELF + c2.go булак). Бул файлдардын тизмесин текшербестен, жумушчу дарагын npmге жылдырган операторго дал келет. Же оператор тажрыйбасыз, же комплект билдирген коомчулукка таратылат жана C2 бинардык файлы продукттун бир бөлүгү болуп саналат.
  • Өзүн-өзү ырастоо - axois-utils:1.0.4 булактын комментарийин камтыйт // Коомчулук үчүн '80.200.28.28' деп өзгөртүү 12-сапта, операторлор адатта четке каккан иштеп чыгуу/этабы менен/өндүрүш прогрессиясын тастыктайт.

жөнүн көрсөтүү

А фазасындагы пайдалуу жүк жөнөкөй каржылык уурулук болуп саналат: ишеним грамоталары, булут ачкычтары, GitHub токендери жана крипто капчыктардын баарында ликвиддүү кайра сатуу рыноктору бар. В фазасы дагы каржылык, бирок кыйыр: DDoS-for-hired ("booter") кызматтары мүнөт сайын ижарага алуу мүмкүнчүлүгүн көбөйтөт, ал эми бул жерде жөнөтүлгөн боттор - бул кызматтар иштеген инвентаризация. 30 секунддук жүрөктүн согушу, жалпы бута/порт/узактыгы буйрук схемасы жана беш протоколдон турган суу ташкынынын арсеналы төмөнкүлөр болуп саналат standard жүктөөчү оператордун продуктусу.

Эки модулду тең параллель иштетүү — бор-темпалте:1.0.19 жана 1.0.20 ошол эле учурда уурдаганды жөнөтүүнү улантуу axois-utils:1.0.9 ботту жөнөтөт — оператор А фазасынан баш тартуунун ордуна киреше агымдарын коргоп жатканын көрсөтүп турат. Өзөктүк багыт кошуу, алмаштыруу эмес.

Биз эмнени талап кылбайбыз

Биз артында реалдуу дүйнөдөгү инсандыкты тастыктай алган жокпуз өлүк код 09284814 handle, жана биз бул өнөктүктү эч кандай аталган коркунуч актёруна, топко же өлкөгө байланыштырбайбыз. "Фантомдук" брендинг артефакттар боюнча бир операторду көрсөтүү үчүн жетиштүү түрдө ырааттуу, бирок C2 бинардык файлдарынын комплект стилиндеги жеткирүүсү келечектеги байланышпаган handle'дерден келген пакеттер ошол эле кодду кайра колдонуу мүмкүнчүлүгүн ачат.

таасири

Мыйзамдуу түрдө отуруп-туруулар Axios жана бор шаблону JavaScript экосистемасында кеңири көз каранды; Axios жалгыз өзү эң көп жүктөлүп алынган отуз npm пакеттеринин катарына кирет. Typosquat аталыштары чыныгы аталыштардан бир баскычты басуу аралыгында (аксисAxios, шаблоншаблон), жана экөө тең лингвистикалык жактан туура келген каталар.

Зыяндуу версияларды алып салуудан мурун биз ишенимдүү жүктөп алуу статистикасын ала алган жокпуз — npm пакет жарыяланбагандан кийин ар бир версиянын жүктөлүп алынган санын сактабайт жана npms.io-style проксилери бул масштабда ызы-чуу жаратат. Lockfile аталган пакетке чечилген каалаган уюм axois-utils or бор-шаблон басмаканадан өлүк код 09284814 бузулган деп эсептелиши керек: бар болгон ар бир ишеним грамотасын айландырыңыз process.env жабыркаган хостто, ар бир ОС үчүн туруктуулук векторлорун текшериңиз (төмөндөгү "Коргоочулар эмне кылышы керек" бөлүмүн караңыз) жана көз карандылыкты алып салыңыз.

Пайда болгон калыптар

Бул өнөктүк акыркы бир нече NPM окуяларында байкалган өзгөрүүнү мисал келтирет: орнотуучу илгич каркас бышык каражат болуп саналат; пайдалуу жүк алмаштырылышы мүмкүнОшол эле басмакана, ошол эле пакет, ошол эле алдын ала орнотуу / орнотуу / орнотуудан кийинки үч эселенген, ал тургай ошол эле версиядагы сокку уруу каденциясы — ортосунда өзгөргөн жалгыз нерсе axois-utils:1.0.6 жана axois-utils:1.0.9 файл болгон hooks иштетүү. А фазасынын пайдалуу жүктөмүнө негизделген кол тамгага негизделген аныктоо (капчыктын жол саптары, phantom.js7,667 линиялуу коллекционер, Serveo C2 хосту) алгачкы үч версияны белгилеп, В фазасын толугу менен өткөрүп жибермек.

Ушул эле көрүнүш биз байкаган башка 2026-жылдагы өнөктүктөрдө да байкалат: туруктуу каркасы бар бир оператор, грамоталарды уурдоо, экзаменден алдаган кардарлар, Telegram-ботторду жок кылуу жана эми DDoS жалдоо. Пайдалуу кол тамгаларга таянган коргоочулар ар бир өнөктүгүнүн экинчи айлампасында утула беришет.

Жыйынтык мындай орнотуу убактысындагы TTPлер жакшыраак сигнал болуп саналатҮч жолу орнотуу-хок жарыялоолору, импорттоочу орнотуу скрипттери HTTPS or бала_процесс, колдонуучуну ишке киргизүү папкаларына жазган скрипттерди орнотуу жана акысыз тескери туннель кызматтарында (Serveo,) хост аттарын чечкен скрипттерди орнотуу. localhost.run, ngrok, cloudflared) баары мыйзамдуу пакеттерде сейрек кездешет жана зыяндуу пакеттерде көп кездешет.

Коргоочулар эмне кылышы керек

  • Lockfile аудити. Ар бирин издөө package-lock.json / жип кулпусу / pnpm-lock.yaml так саптар үчүн сиздин уюмуңузда axois-utils жана бор-шаблонАр кандай дал келүүнү компромисс катары кабыл алыңыз.
  • Сырларды айландыруу жабыркаган хосттордо. А фазасында көп санда чогултулган SSH, булут, GitHub, npm жана капчык грамоталары. Бардык грамоталардын бар экендигин эске алыңыз. process.env, ~ / .ssh, ~/.aws, ~/.npmrc, ~/.config, же кандайдыр бир .env* жабыркаган хосттогу файл ачыкка чыгат.
  • Туруктуулукту алып салыңыз (В фазасы). Windows'то, өчүрүү HKCU\Программалык камсыздоо\Microsoft\Windows\Учурдагы версия\Run\SystemUpdate, алып салуу %APPDATA%\Microsoft\Windows\Старт менюсу\Программалар\Старт\системаны жаңыртуу.bat, жана schtasks /delete /tn SystemUpdate /fLinux'та, crontab -E жана алып салуу @reboot түйүнү …, systemctl –колдонуучуну өчүрүү –азыр phantom-bot.service андан кийин жок кыл ~/.config/systemd/user/phantom-bot.service, скраб .bashrc / .zshrc / /etc/rc.localmacOS'то, launchctl түшүрүү ~/Library/LaunchAgents/com.phantom.bot.plist андан кийин plistти өчүрүңүз.
  • C2 хостторун бөгөттөңүз. IOC таблицасындагы төрт C2 чекитин чыгуучу блок тизмеңизге кошуңуз. *.serveousercontent.com жана *.lhr.life Эгерде сиздин чөйрөңүз тескери туннель кызматтары үчүн мыйзамдуу түрдө колдонулбаса, дүңүнөн сатууга бөгөт коюлушу мүмкүн.
  • Орнотуу убактысынын TTP боюнча издөө, пайдалуу жүк эмес. Инвентаризациянын кулпуланган файл жазуулары кимдин package.json деп алдын ала орнотуу, орнотуу, жана орнотуудан кийинки баары бир эле скриптти көрсөтүп турат. Пакеттин жашын жана жарыялоочунун текшерүү статусун кайчылаш текшериңиз. Бул үлгү мыйзамдуу пакеттерде сейрек кездешет жана PhantomBot кайра колдонгон эң ишенимдүү сигнал болуп саналат.
  • C2 бинардык файлынын аудити. Жүктөп алгандардын баары axois-utils:1.0.9 оператордун C2 серверине ээ (c2 ELF, sha256 165fa92d…) дискте. Кэштерди жана CI артефакт сактагычтарын сканерлөө. Бинарлык файл өзүнчө иштебей турат, бирок анын жумуш станциясында болушу пакеттин орнотулгандыгынын бир беткей далили болуп саналат.

Жабылуу сызыгы

Ошол эле оператор, ошол эле пакет жана ошол эле орнотуу илгичи 48 сааттын ичинде таптакыр башка коркунучтарды жаратышы мүмкүн. Пайдалуу жүктөмгө эмес, курулуш аянтчасына көңүл буруңуз.

sca-tools-программалык-композициялык-талдоо-куралдары
Программалык камсыздооңуздун тобокелдиктерин артыкчылыктуу деп эсептеңиз, оңдоңуз жана коопсуздугун камсыз кылыңыз
Акысыз аккаунтуңузду алыңыз.
Насыя картасы талап кылынбайт.

Программалык камсыздоону иштеп чыгууну жана жеткирүүнү камсыз кылыңыз

Xygeni Product Suite менен