PhantomBot Vum Umeldungsdatenklau zum Botnet

PhantomBot: Eng Typosquat-Kampagne, déi sech vum Umeldungsinformatiounsklau zu engem schlësselfäerdege Botnet-Kit entwéckelt huet.

TL; DR

Een eenzegen npm Verlag, deadcode09284814, huet eng Typosquat-Kampagne géint déi legitim gefouert axios an chalk-template Paketen zënter Mëtt Mee 2026.

D'Campagne huet als konventionelle Knallhëllef fir Umeldungsinformatiounen a Portemonnaien ugefaangen, andeems se Daten an eng ... geklaut huet. Serveo HTTPS-Tunnel.

On 2026-05-17, mat axois-utils:1.0.9, den Operateur huet d'Payload komplett ausgetosch: dee selwechten Triple-Install-Hook-Scaffold, deeselwechten Editeur, deeselwechten Package-Numm.

Mee den Installatiounsskript ass elo e plattformiwwergräifende DDoS Botnet Rekrutement.

D'Notzlaascht schwätzt zu engem localhost.run Tunnel akzeptéiert Flood-Befehle, wouduerch infizéiert Ëmfeld an en Deel vun engem DDoS-fäege Botnet gemaach ginn.

Den Operateur huet souguer geschéckt C2 Server Binär am Tarball, wat eng kloer Eskalatioun vum Umeldungsinformatiounsklau bis zu enger aktiver Botnet-Infrastruktur weist.

Zwee Paketen, véier Versiounen nach ëmmer aktiv am Registry, an een Operator, deen elo béid Moduler parallel leeft.

Schwéiergrad: héich.

Iwwerschrëft IOC All axois-utils oder chalk-tempalte Versioun vum Editeur deadcode09284814

Den Ugrëff: Wéi et funktionéiert

D'Campagne baséiert op engem bewosst langweilege Liwwergerüst: zwee typosquat Paketnimm, ee Buschtaf vun de Paketen mat Honnerte vu Millioune wöchentlechen Downloads (axios, Kräid-Schabloun), an dräifach Installatioun hooks déi d'Ausféierung garantéieren. Wat interessant ass, ass wat de Gerüst fiert — an d'Tatsaach, datt den Operateur d'Ladung geännert huet, ouni soss eppes z'änneren.

De gemeinsame Gerüst

All publizéiert Versioun vun deenen zwou Packagen deklaréiert déiselwecht dräi Liewenszyklen. hooks in Package.json:

"scripts": {    "preinstall":  "node <payload>.js",    "install":     "node <payload>.js",    "postinstall": "node <payload>.js"  } 

D'Notzlaascht ënner all dräi oplëschten hooks ass iwwerdriwwen - no der Installatioun eleng géif am Standard lafen npm installéiertD'Wiel ass wichteg: npm installéieren –ignore-scripts iwwerspréngt Skripter, awer verschidde üblech Workflows (CI Cache Restauratiounen, déi de Liewenszyklus nei ausféieren) hooks selektiv, oder Entwéckler, déi nëmmen Auditen no der Installatioun) eng dräifach redundant Deklaratioun ze maachen ass déi sécherst Wette fir den Ugräifer.

Kräid-Schabloun füügt en zweete Mechanismus bäi: et erkläert axois-utils:^1.0.7 als Lafzäit OfhängegkeetInstalléiere vum typosquatted Kräid-Schabloun dofir zitt och den Typosquat vun de Geschwëster eran, an déi zwou Payloads lafen. Déi zwee Pakete sinn e koordinéiert Puer, keng onofhängeg Lëschten.

Phase A — Umeldungsinformatiounen / Portemonnaieklauer (15.05.2026 → aktuell)

Phase A ass déi ursprénglech Notzlaascht. De Lader ass kuerz postinstall.js dat op en Serveo HTTPS Reverse-Tunnel weist:

// chalk-tempalte/postinstall.js:11-13  const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com";  const C2_PORT = 443;  const C2_PATH = '/collect'; 

De Serveo-Subdomain kodéiert d'Destinatiouns-IP (80.200.28.28) direkt am Hostnumm - eng erkennbar Konventioun fir dee Service. Den Operator rotéiert de zoufällege Subdomain-Prefix tëscht de Versiounen, fir naiv Domain-Blocklëschten ze ëmgoen, awer déi ënnerläitend IP réckelt ni. (Chalk-tempalte: 1.0.14 benotzt 8a3e818ea8f11186-80-200-28-28…; 1.0.16 / 1.0.19 / 1.0.20 benotzen f04a273bd84c0622-….)

postinstall.js Hänn ewech fir phantom.js, e gebündelte "Sammler"-Modul mat 7,667 Zeilen. phantom.js geet mam Gaaschtgeber fir:

SSH privat Schlësselen (~/.ssh/*)
.npmrc Inhalt an all npm_* env-Tokens
AWS-, GCP- an Azure-Umeldungsdaten
GitHub perséinlechen Zougangstoken Regex (ghp_*, gho_*, ghu_*, ghs_*)
Krypto-Portemonnaie-Artefakte fir Bitcoin, Exodus, Electrum, Monero, Litecoin, Dogecoin, Zcash, Dash
E rekursivt .env* goen duerch ~/projects, ~/dev, ~/code, ~/workspace, an den Installatiouns-CWD
Shell Geschichten an déi komplett process.env

De Bundle gëtt an den Serveo-Tunnel geschéckt um / sammelenEt gëtt keng Verschleierung, keng Anti-VM-Logik, keng Staging - d'Wette vum Bedreiwer läit op Volumen a Geschwindegkeet.

Phase B — PhantomBot DDoS Rekrutéierung (17.05.2026, nëmmen axois-utils:1.0.9)

Phase B ersetzt phantom.js + postinstall.js duerch eng eenzeg Datei mam Numm distrube.js (de Tippfeeler ass dee vum Operator). Den Triple-Hook-Scaffold am package.json bleift onverännert; de Package behält dee selwechten Numm, Scope a Versiouns-Bump-Muster. Vun baussen gesäit axois-utils:1.0.9 aus wéi eng kleng Fortsetzung vun 1.0.6. Bannendran ass et eng aner Malware-Famill.

distrube.js geet mat engem Konfiguratiounsblock op, deen d'Branding vum Bedreiwer selwer nennt:

// axois-utils-1.0.9/distrube.js:11-15
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally)
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel
const C2_PORT = 443; // HTTPS port - tunnel handles SSL
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`;

D'Kommentaren sinn un en zukünftegen Operator geriicht, deen de Kit ausféiert ("Benotzt Är localhost.run HTTPS URL"). Dat, plus dat wat nieft dem Bot Client geliwwert gëtt, ass den Zeechen, datt dëst net nëmmen eng Affer-Payload ass - et ass de Kit.

De Floss:

  1. Persistenz leeft als éischt. De Skript installéiert sech op dräi verschidde Weeër pro Betribssystem (Registrierung Run + Startup-Ordner + schtasks op Windows; crontab + phantom-bot.service systemd Eenheet + .bashrc/.zshrc bäifügen + /etc/rc.local op Linux; LaunchAgent com.phantom.bot.plist op macOS). Den Numm vum Persistenz-Service an den LaunchAgent-Label sinn allebéid Phantom-Bot / com.phantom.bot, wou och den Numm vun der Kampagne hierkënnt.
  2. Systeminfo exfil leeft eemol — e One-Shot Fangerofdrock POST op b94b6bcfa27554.lhr.life:443/collect mat Hostnumm, Plattform, Arch, Benotzernumm, CPU/RAM, Netzwierkinterfaces, process.env, cwd, Homedir, Node Versioun an ëffentlech IP. Dëst ass vill manner aggressiv wéi Phase A: kee SSH, keng Portemonnaien, keng .env Rekursioun. D'Aarbecht vum Bot ass et sech anzumellen, net ze klauen.
  3. Häerzschlag-Schleif mécht all 30 Sekonnen en HTTPS POST op b94b6bcfa27554.lhr.life:443/ op. Den User-Agent ass PhantomBot/1.0. D'TLS-Verifizéierung ass explizit deaktivéiert (rejectUnauthorized: false). D'C2-Äntwert gëtt als JSON vun der Form {type, target, port, duration, threads, method} geparst a verschéckt.
  4. Iwwerschwemmungsarsenal ass mat sechs Kommandoen verbonnen:
Kommando Typ Modul Notes
Ping Äntwert op d'Liewensqualitéit Bot identifizéiert sech selwer
http HTTP Iwwerschwemmung Layer-7 Ufroflut
Majo HTTPS-Iwwerschwemmung D'selwecht wéi http, TLS-gepackt
tcp TCP-Iwwerschwemmung 65 KB zoufälleg-Payload Spam
pud UDP Iwwerschwemmung 65,507-Byte UDP-Päcketen
séier HTTP/2 Schnellreset DoS D'2023 CVE-2023-44487 Technik

All fënnef Iwwerschwemmungsmoduler huelen e Zil gesat, port, dauert, an thread Argument - de Bot ass e generesche Flooder fir ze lounen, deen net op e bestëmmt Affer geriicht ass. D'Afferlëscht vum Bedreiwer ass um C2 ze fannen, net am Package.

Wat ass nei hei - déi geliwwert C2 Binärdatei

Phase A ass eng bekannt Form: Umeldungsinformatiounsklau, Installatiounshook, vum Ubidder getunnelt C2. Phase B ass och eng bekannt Form - DDoS Botnetzer sinn zënter Joren e feste Bestanddeel vu béiswëllege NPM-Paketen. Ongewéinlech ass, datt den Operateur de ... verschéckt huet. Server Säit vum Kit am npm Tarball:

  • c2 — e 4-Megabyte kompiliéierte Go ELF Binärdatei
  • c2.go — déi 426-Zeileger Go-Quell fir déi binär Datei

Keng vun de Fichieren gëtt vun engem Installatiounshook opgeruff. Si sinn net Deel vun der Payload vum Affer. Si sinn am Package-Verzeichnis, genee wéi eng Dokumentatiounsdatei et géif maachen. Déi plausibelst Interpretatioun ass, datt den Operateur säin Entwécklungs-Aarbechtsbam op npm gepusht huet, ouni d'Fichielëscht ze kuréieren - e richtege OpSec-Feeler - an datt de komplette zweesäitege Kit geliwwert gouf: de Client, deen en Affer ausféiert, an de Server, deen den Operateur ausféiert.

Dëst ass den Deel vun der Geschicht, deen d'Framing vum "turnkey Botnet Kit" rechtfäerdegt. Jiddereen, deen erofgelueden huet axois-utils:1.0.9 virum Takedown huet net nëmmen e Beispill vun engem Affer - si hunn e funktionéierende C2-Server.

De Pivot, an engem Saz

Dee selwechte Verlag, déiselwecht Pakennimm, dat selwecht Dräifach-Hook-Scaffold, dat selwecht "Phantom"-Branding - awer D'Payload huet d'Monetariséierungsmodell iwwer Nuecht geännert: vun "Erntegeheimnisser, déi ech weiderverkafe kann" bis "Iwwerschwemmungskapazitéit lounen, déi ech lease kann". D'TTPs zur Installatiounszäit, op déi d'Verdeedeger oppasse sollten, sinn a béide Phasen bal identesch; signaturbaséiert Verdeedegung, déi op d'Portemonnaie-Wee-Strings vun der Phase A zougeschnidden ass oder op phantom.jsDe Sammler vu 7,667 Zeilen hätt d'Phase B komplett verpasst.

Datum (UTC) Héichwaasser
2026-05-15 Éischt Publikatioun: axois-utils:1.0.4 (LAN-Testbau, Entwécklungsrigg bei 192.168.129.19)
2026-05-15 axois-utils:1.0.6 publizéiert — Phase A C2 ëmgewiesselt op 80.200.28.28 iwwer de Serveo-Tunnel; de Quellkommentar // Change to '80.200.28.28' for public confirméiert den Dev→Prod Swap
2026-05-16 chalk-tempalte:1.0.14 an 1.0.16 publizéiert — gekettene Lader deklaréiert axois-utils:^1.0.7 als Runtime-Ofhängegkeet; Serveo-Ënnerdomain rotéiert
2026-05-16 Phase A Kampagne während routineméissegem NPM-Scan entdeckt; confirméiert-béiswëlleg Urteeler ugewannt
2026-05-17 axois-utils:1.0.9 publizéiert — Payload Pivot: PhantomBot DDoS Rekrutéierung iwwer localhost.run Tunnel; operateursäit c2 binär an c2.go Quelltext am Tarball geliwwert
2026-05-17 chalk-tempalte:1.0.19 an 1.0.20 publizéiert — nach ëmmer Phase A (Stealer); den Operateur bedreift elo béid Moduler parallel
2026-05-17 Entdeckung vun der Phase B wärend dem Routinescannen; Uerteeler op all ugewannt 2026-05-17 Versiounen
(lafend) Takedown-Rapporte sinn amgaang; all véier publizéiert Pakete sinn zum Zäitpunkt vum Schreiwen nach ëmmer am Registry verfügbar

Indicateuren vun Kompromëss

Formulen

Ecosystem Pak Versiounen
npm axois-utils (Typosquat vun Axios) 1.0.4, 1.0.6, 1.0.9
npm chalk-tempalte (Typosquat vun enger Kräid-Schabloun) 1.0.14, 1.0.16, 1.0.19, 1.0.20

Identitéit vum Auteur

Beräich Wäert
npm-Verlag deadcode09284814
E-Mail vum Editeur phantomdeadcode@tutamail.com
SCM kënnen keent

Kommando-a-Kontroll

Phase Endpunkt Transport
A f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect Serveo HTTPS-Tunnel
A 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect Serveo HTTPS Tunnel (fréier Versioun)
A 80.200.28.28:443/collect Basisleeënd VPS-Endpunkt
B b94b6bcfa27554.lhr.life:443/ localhost.run HTTPS Reverse-Tunnel

Datei-Digesten (SHA-256)

Fichier SHA-256 Notes
c2 (Go ELF, 4 MB) 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 C2-Server op der Bedreiwersäit, geliwwert dobannen axois-utils:1.0.9
c2.go (426 Zeilen) 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 Quellcode fir de C2-Binärcode goen
distrube.js 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 Phase B Bot Client
phantom.js (chalk-tempalte:1.0.19) 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 Phase A Umeldungsinformatiounen / Portemonnaie-Sammler
phantom.js (chalk-tempalte:1.0.20) d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 Phase A Kollektor (Variant 1.0.20)
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 Phase A Loader, byte-identesch iwwer béid Versiounen

Attributioun & Motivatioun

Mir verfollegen dës Kampagne als PhantomBot, andeems de Branding vum Betreiber selwer vun der Benotzer-Agent: PhantomBot/1.0 Häerzschlag-Kopf, den phantom-bot.service Systemd-Eenheet, d' com.phantom.bot LaunchAgent Label, an den phantomdeadcode@ E-Mail-Adress. Den Operator ass konsequent wat dësen Numm ugeet iwwer op d'mannst véier Artefakten.

Signaler Katalog

  • Publisher - Doudcode09284814 op npm. Eenzelhandbuchkonto, Tutamail Wegwerf-E-Mail, nee SCM Verifizéierung. Keng fréier Publikatiounsgeschicht iwwer dës Kampagne eraus.
  • Branding-Wiederverwendung — „Phantom“ erschéngt an der E-Mail vum Editeur, am Dateinumm vum Phase A Collector (phantom.js), am Numm vum Phase B Persistenzservice (phantom-bot.service), am LaunchAgent-Label (com.phantom.bot), an am Bot User-Agent (PhantomBot/1.0).
  • Infrastruktur — Een eenzege VPS bei 80.200.28.28 féiert Phase A iwwer Serveo Subdomain Rotatioun; Phase B beweegt sech op eng localhost.run Réckgängstunnel (b94b6bcfa27554.lhr.lifeBéid Ubidderservicer si gratis a verlaangen nëmmen erausgehend SSH op der Säit vum Betreiber, wat mat Low-Budget- a Low-OpSec-Setups iwwereneestëmmt.
  • Code Stil — Einfach JavaScript duerchgängeg; keng Obfuskatioun, keng String-Codéierung, keng Anti-VM-Kontrollen. Variabelnimm sinn beschreiwend (klauenSystemInfo, Kommando ausféieren, httpIwwerschwemmungKommentarer an distrube.js direkt en zukünftegen Operator adresséieren ("Benotzt Är localhost.run HTTPS URL"), wat drop hiweist, datt d'Datei als Kit nei verdeelt sollt ginn, an net vun engem eenzegen Ugräifer benotzt.
  • OpSec-Schlupf — De Phase B Tarball liwwert souwuel de Bot-Client wéi och den operateurseitege C2-Server (c2 ELF + c2.go Quellcode). Dëst entsprécht engem Operator, deen säin Aarbechtsbam op npm gepusht huet, ouni d'Dateilëscht ze iwwerpréiwen. Entweder den Operator ass onerfueren, oder de Kit ass gemengt ëffentlech verdeelt ze ginn an de C2 Binär ass Deel vum Produkt.
  • Selbstbestätegung - axois-utils:1.0.4 enthält de Quellkommentar // Ännert op '80.200.28.28' fir ëffentlech an der Zeil 12, wat de Fortschrëtt vun der Entwécklung/Staging/Produktioun bestätegt, deen d'Betreiber typescherweis ofstreiden.

Motivatioun

D'Phase A-Payload ass einfach finanziell Déifstall: Umeldungsinformatiounen, Cloud-Schlësselen, GitHub-Tokens a Krypto-Portemonnaien hunn all flësseg Widderverkaafsmäert. Phase B ass och finanziell, awer indirekt: DDoS-for-Hire ("Booter")-Servicer lounen d'Kapazitéit pro Minutt, a Bots wéi deejéinegen, deen hei geliwwert gëtt, sinn den Inventar, op deem dës Servicer lafen. Den 30-Sekonnen-Häerzschlag, den genereschen Zil gesat/port/dauert Kommandoschema, an den Fënnef-Protokoll-Iwwerschwemmungsarsenal sinn déi standard Produkt vun engem Booter-Operateur.

Béid Moduler parallel lafen — Chalk-tempalte: 1.0.19 an 1.0.20 weider de Stealer verschécken, während axois-utils:1.0.9 liwwert de Bot - weist drop hin, datt den Operateur Akommesstréim ofséchert anstatt Phase A opzeginn. De Pivot ass en Zousätzlech, keen Ersatz.

Wat mir net behaapten

Mir konnten keng real Identitéit hannert dem bestätegen Doudcode09284814 Handle, an mir schreiwen dës Kampagne kengem genannten Akteur, Grupp oder Land zou. De "Phantom"-Branding ass konsequent genuch iwwer all Artefakte fir en eenzegen Operator ze suggeréieren, awer d'Verschécken vum C2-Binärdatei am Kit-Stil léisst d'Méiglechkeet op, datt zukünfteg Pakete vun net verwandten Handles deeselwechte Code nei benotzen.

Impakt

Déi legitim Squat-Ziler axios an Kräid-Schabloun sinn am JavaScript-Ökosystem wäit ofhängeg; axios eleng ass ënnert den drësseg meescht erofgeluedenen NPM-Paketen. D'Typosquat-Nimm sinn nëmmen ee Tastendrock vun de richtegen ewech (axoisaxios, TemplateSkelett), an allebéid sinn sproochlech plausibel Schreiffehler.

Mir konnten keng zouverlässeg Downloadstatistike fir déi béiswëlleg Versioune virum Entfernen kréien - npm späichert keng Downloadzuelen pro Versioun nodeems e Pak net publizéiert gouf, an npms.io-style Proxies si rauschhaft op dësem Niveau. All Organisatioun, där hir Lockdatei op e Pak mam Numm opléist axois-utils or Kräid-Schabloun vum Verlag Doudcode09284814 soll als kompromittéiert behandelt ginn: rotéiert all präsent Umeldungsinformatiounen an process.env um betraffene Host, iwwerpréift d'Persistenzvektoren pro Betribssystem (kuckt "Wat Verdeedeger maache sollen" hei ënnendrënner), an läscht d'Ofhängegkeet.

Emerging Mustere

Dës Kampagne exemplifizéiert eng Verännerung, déi mir a verschiddene rezenten NPM-Incidente gesinn hunn: De Gerüst mat Installatiounshaken ass dat haltbaart Verméigen; d'Notzlaascht ass austauschbarDee selwechte Verlag, dee selwechte Pak, dee selwechte virinstalléieren / installéieren / no der Installatioun dräifach, an och déiselwecht Versioun-Bump-Kadenz - dat eenzegt wat sech tëscht geännert huet axois-utils:1.0.6 an axois-utils:1.0.9 war d'Datei hooks lafen. Signaturbaséiert Detektioun, déi op d'Phase A Payload zougeschnidden ass (Wallet-Path Strings, phantom.jsDe Sammler vu 7,667 Zeilen, den Host vu Serveo C2), hätt déi éischt dräi Versioune markéiert an d'Phase B komplett verpasst.

Dat selwecht Muster ass och bei anere Kampagnen aus dem Joer 2026 ze gesinn, déi mir verfollegt hunn: een eenzegen Operateur mat engem stabile Schaffplatz, deen tëscht dem Déifstall vun Umeldungsinformatiounen, dem Fuddelen vun Examen, dem Exfil vun Telegram-Bots an elo och nach DDoS-Rekrutéierung wiesselt. Verdeedeger, déi sech op Payload-Signaturen verloossen, wäerten ëmmer erëm déi zweet Ronn vun all Kampagne verléieren.

D'Konsequenz ass, datt TTPs zur Installatiounszäit sinn dat besser SignalDräifach Install-Hook-Deklaratiounen, Installatiounsskripten, déi importéieren Majo or Kand_prozess, Installéiert Skripter déi an de Startup-Ordner vum Benotzer schreiwen, an Installéiert Skripter déi Hostnimm op gratis Reverse-Tunnel-Servicer opléisen (Serveo, localhost.run, ngrok, cloudflared) sinn all rar a legitime Paketen a heefeg bei béiswëllege Paketen.

Wat d'Verdeedeger maache sollen

  • Sperrfile-Audit. Sich all package-lock.json / garn.lock / pnpm-lock.yaml an Ärer Organisatioun fir déi genee Zeecheketten axois-utils an Kräid-SchablounBehandelt all Match als e Kompromiss.
  • Geheimnisser rotéieren op betraffene Gastgeber. Phase A Masseveraarbechtung vu SSH-, Cloud-, GitHub-, npm- a Wallet-Umeldungsdaten. Huelt un, datt all Umeldungsdaten, déi jee präsent sinn, dran sinn. process.env, ~/.ssh, ~/.aws, ~/.npmrc, ~ / .config, oder iergendeen .env* D'Datei op dem betraffene Host ass exposéiert.
  • Persistenz ewechhuelen (Phase B). Op Windows, läschen HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SystemUpdate, ewechhuelen %APPDATA%\Microsoft\Windows\Startmenü\Programmer\Startup\system-update.bat, an schtasks /delete /tn SystemUpdate /fOp Linux, crontab -e an ewechhuelen @reboot-Knuet …, systemctl –Benotzer deaktivéieren –now phantom-bot.service läschen dann ~/.config/systemd/user/phantom-bot.service, scrubéieren .bashrc / .zshrc / /etc/rc.localOp macOS, launchctl unload ~/Bibliothéik/LaunchAgents/com.phantom.bot.plist dann läscht de Plist.
  • Blockéiert d'C2-Hosts. Füügt déi véier C2-Endpunkten an der IOC-Tabell zu Ärer Egress-Blocklëscht bäi. *.serveousercontent.com an *.lhr.Liewen kann am Groussen a Ganzen blockéiert ginn, wann Är Ëmfeld keng legitim Notzung fir Reverse-Tunnel-Servicer huet.
  • Sich no TTP bei der Installatiounszäit, net d'Notzlaascht. Inventar-Sperrdatei-Entréen, deenen hir Package.json deklaréiert virinstalléieren, installéieren, an no der Installatioun all weisen op dat selwecht Skript. Kontrolléiert géint den Alter vum Pak an de Verifizéierungsstatus vum Editeur. Dëst Muster ass rar a legitime Paketen an ass dat zouverlässegst Signal, dat de PhantomBot nei benotzt.
  • Audit fir de C2 Binär. Jiddereen, deen erofgelueden huet axois-utils:1.0.9 huet de C2-Server vum Bedreiwer (c2 ELF, sha256 165fa92d…) op der Festplack. Scannt Cache a CI-Artefaktspeicher. De Binärdatei ass eleng dormant, awer seng Präsenz op enger Aarbechtsstatioun ass e kloere Beweis datt de Pak installéiert gouf.

Schlusslinn

Dee selwechten Operateur, dat selwecht Pak an dee selwechten Installatiounshook kënnen bannent 48 Stonnen komplett aner Gefore liwweren. Kuckt op d'Geräter, net op d'Notzlaascht.

sca-tools-software-zesummesetzungsanalyse-tools
Prioritäriséiert, behënnert a séchert Är Softwarerisiken
Kritt Äre gratis Kont.
Kee Kreditkaart erfuerderlech.

Séchert Är Softwareentwécklung a Liwwerung

mat der Xygeni Produkt Suite