PhantomBot нь итгэмжлэлийн хулгайгаас ботнет хүртэл

PhantomBot: Итгэмжлэлийн хулгайгаас түлхүүр гардуулах ботнет хэрэгсэл рүү шилжсэн Typosquat кампанит ажил

TL, DR

Ганц npm хэвлэн нийтлэгч, deadcode09284814хууль ёсны эсрэг бичгийн алдаатай кампанит ажил явуулсан axios болон chalk-template 2026 оны 5-р сарын дунд үеэс хойшхи багцууд.

Энэхүү кампанит ажил нь уламжлалт итгэмжлэл болон түрийвч хулгайлах замаар эхэлсэн бөгөөд өгөгдлийг ... руу нэвт шингээж байв. Serveo HTTPS туннель.

On 2026-05-17хамт axois-utils:1.0.9, оператор нь ашигтай ачааллыг бүхэлд нь сольсон: ижил гурвалсан суулгах дэгээний шат, ижил нийтлэгч, ижил багцын нэр.

Гэхдээ суулгах скрипт нь одоо олон платформ бүхий DDoS ботнетийн ажилд авах хэрэгсэл болсон.

Ачаа нь дараахтай холбоотой localhost.run туннел хийж, үерийн командуудыг хүлээн авч, халдвар авсан орчныг DDoS чадвартай ботнетийн нэг хэсэг болгон хувиргадаг.

Оператор хүртэл тээвэрлэсэн C2 серверийн хоёртын файл tarball дотор, итгэмжлэлийн хулгайгаас идэвхтэй ботнет дэд бүтэц хүртэл тодорхой өсөлтийг харуулж байна.

Хоёр багц, бүртгэл дээр идэвхтэй хэвээр байгаа дөрвөн хувилбар, мөн нэг оператор хоёр модулийг зэрэгцээ ажиллуулж байна.

Хүнд байдал: өндөр.

ОУОХ-ны гарчиг Хэвлэн нийтлэгчийн deadcode09284814-с авсан axois-utils эсвэл chalk-tempalte хувилбарын аль нэг нь

Довтолгоо: Энэ нь хэрхэн ажилладаг вэ

Энэ кампанит ажил нь зориудаар уйтгартай хүргэлтийн суурь дээр суурилдаг: хоёр удаа буруу бичсэн багцын нэр, долоо хоногт хэдэн зуун сая удаа татагдсан багцуудаас нэг үсэг зөрүүтэй (axios, шохойн загвар), мөн гурвалсан суулгалт hooks гүйцэтгэлийг баталгаажуулдаг. Сонирхолтой нь юу вэ гэдэг нь юу вэ дагуулдаг — мөн оператор өөр юу ч өөрчлөхгүйгээр ачааг өөрчилсөн баримт.

The shared scaffold

Хоёр багцын нийтлэгдсэн хувилбар бүр ижил гурван амьдралын мөчлөгийг зарладаг hooks in багц.json:

"scripts": {    "preinstall":  "node <payload>.js",    "install":     "node <payload>.js",    "postinstall": "node <payload>.js"  } 

Listing the payload under all three hooks хэтрүүлэгтэй байна - суулгасны дараах ганцаараа анхдагчаар ажиллах болно npm суулгахСонголт чухал: npm суулгах –ignore-scripts скриптүүдийг алгасдаг боловч хэд хэдэн нийтлэг ажлын урсгалууд (CI кэш нь дахин ажиллуулах амьдралын мөчлөгийг сэргээдэг) hooks сонгон шалгаруулалтаар, эсвэл зөвхөн аудит хийдэг хөгжүүлэгчид суулгасны дараах) make a triple-redundant declaration the safest bet for the attacker.

шохойн загвар хоёр дахь механизмыг нэмж оруулав: энэ нь тунхаглаж байна axois-utils:^1.0.7 ажиллах хугацаа болгон хамааралtyposquatted-г суулгах шохойн загвар Тиймээс эгч дүүсийн typosquat-г бас татаж, хоёр ашигтай ачаалал ажиллана. Хоёр багц нь бие даасан жагсаалт биш, харин зохицуулагдсан хос юм.

Phase A — credential / wallet stealer (2026-05-15 → present)

А үе шат нь анхны ачаа юм. Ачигч нь богино postinstall.js энэ нь Serveo HTTPS урвуу туннелийг зааж байна:

// chalk-tempalte/postinstall.js:11-13  const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com";  const C2_PORT = 443;  const C2_PATH = '/collect'; 

Serveo дэд домэйн нь очих IP хаягийг кодчилдог (80.200.28.28) шууд хостын нэр дээр - тухайн үйлчилгээний танигдахуйц конвенц. Оператор нь санамсаргүй дэд домэйны угтварыг хувилбаруудын хооронд эргүүлж, энгийн домэйны блок жагсаалтаас зайлсхийх боловч үндсэн IP хэзээ ч хөдөлдөггүй. (шохойн загвар: 1.0.14 ашигласан 8a3e818ea8f11186-80-200-28-28…; 1.0.16 / 1.0.19 / 1.0.20 хэрэглээ f04a273bd84c0622-….)

postinstall.js гараа сунгах phantom.js, 7,667 мөр бүхий багцалсан “цуглуулагч” модуль. phantom.js хостыг дараах зорилгоор алхуулдаг:

SSH хувийн түлхүүрүүд (~/.ssh/*)
.npmrc агуулга болон аливаа npm_* хүрээлэн буй орчны токенууд
AWS, GCP болон Azure итгэмжлэлийн файлууд
GitHub хувийн хандалтын токенын регекс (ghp_*, gho_*, ghu_*, ghs_*)
Bitcoin, Exodus, Electrum, Monero, Litecoin, Dogecoin, Zcash, Dash-д зориулсан крипто-түрийвчний олдворууд
Рекурсив .env* туулж өнгөрөх ~/projects, ~/dev, ~/code, ~/workspace, мөн cwd-г суулгана уу
Shell histories and the full process.env

Багцыг Serveo туннел рүү дараах хаягаар POST хэлбэрээр илгээсэн. /цуглуулахЯмар ч төөрөгдөл, VM-ийн эсрэг логик, үе шат байхгүй - операторын мөрий нь дууны хэмжээ болон хурд дээр байдаг.

B үе шат — PhantomBot DDoS-г элсүүлэх (2026-05-17, зөвхөн axois-utils:1.0.9)

B үе шат нь phantom.js + postinstall.js файлуудыг distrube.js нэртэй ганц файлаар сольдог (бичгийн алдаа нь операторынх). package.json файл дахь гурвалсан дэгээ шат өөрчлөгдөөгүй; багц нь ижил нэр, хамрах хүрээ, хувилбарын өсөлтийн загварыг хадгалдаг. Гаднаас нь харахад axois-utils:1.0.9 нь 1.0.6 хувилбарын жижиг үргэлжлэл мэт харагдаж байна. Дотор нь энэ нь өөр хортой програм хангамжийн гэр бүл юм.

distrube.js операторын өөрийн брэндийг нэрлэсэн тохиргооны блокоор нээгдэнэ:

// axois-utils-1.0.9/distrube.js:11-15
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally)
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel
const C2_PORT = 443; // HTTPS port - tunnel handles SSL
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`;

Тайлбарууд нь уг иж бүрдлийг ажиллуулж буй ирээдүйн операторт хаяглагдсан болно (“localhost.run HTTPS URL хаягаа ашиглана уу”). Энэ нь бот клиентийн хажууд илгээгддэг зүйлээс гадна энэ нь зөвхөн хохирогчийн ашигтай ачаалал биш, харин уг иж бүрдэл гэдгийг харуулж байна.

Урсгал:

  1. Тэвчээртэй эхлээд ажилладаг. Скрипт нь үйлдлийн систем бүрт гурван өөр аргаар өөрийгөө суулгадаг (бүртгэл) Run + Эхлүүлэх хавтас + schtasks Windows дээр; crontab + хий үзэгдэл-бот.үйлчилгээ системийн нэгж + .bashrc/.zshrc хавсаргах + /etc/rc.local Линукс дээр; LaunchAgent com.phantom.bot.plist macOS дээр). Persistence үйлчилгээний нэр болон LaunchAgent шошго нь хоёулаа хий үзэгдэл робот / com.phantom.bot, мөн кампанит ажлын нэр нь эндээс гаралтай.
  2. Системийн мэдээллийн файлыг гаргах нэг удаа ажиллана — b94b6bcfa27554.lhr.life:443/collect руу нэг удаагийн хурууны хээ POST командыг илгээж, хостын нэр, платформ, нуман хаалга, хэрэглэгчийн нэр, CPU/RAM, сүлжээний интерфэйсүүд, process.env, cwd, homedir, node хувилбар болон нийтийн IP хаягийг агуулна. Энэ нь А үе шатнаас хамаагүй бага түрэмгий: SSH байхгүй, түрийвч байхгүй, .env рекурс байхгүй. Ботын ажил бол хулгайлах биш, бүртгүүлэх явдал юм.
  3. Зүрхний цохилтын гогцоо 30 секунд тутамд HTTPS POST-г b94b6bcfa27554.lhr.life:443/ руу нээнэ. Хэрэглэгчийн агент нь PhantomBot/1.0. TLS баталгаажуулалтыг идэвхгүй болгосон (rejectUnauthorized: false). C2 хариуг {type, target, port, duration, threads, method} хэлбэрийн JSON хэлбэрээр задлан шинжилж, илгээнэ.
  4. Үерийн зэвсэг зургаан командтай холбогддог:
Тушаалын төрөл Module тэмдэглэл
ширээний Амьд байдлын хариулт Бот өөрийгөө тодорхойлдог
HTTP HTTP үер 7-р давхаргын хүсэлтийн үер
HTTPS HTTPS үер http-тэй адил, TLS-ээр ороосон
tcp TCP үер 65 KB санамсаргүй ачааллын спам
udp UDP үер 65,507 байт UDP пакетууд
хурдацтай HTTP/2 хурдан дахин тохируулах DoS 2023 оны CVE-2023-44487 арга техник

Үерийн таван модуль бүгд ... зорилтот, порт, үргэлжлэх хугацааБолон утаснууд маргаан — бот нь ямар нэгэн тодорхой хохирогчид зориулагдаагүй, ерөнхий хөлсний флоудер юм. Операторын хохирогчдын жагсаалт нь багцад биш, харин C2 дээр байдаг.

Шинээр юу байна — илгээгдсэн C2 хоёртын файл

А үе шат бол танил хэлбэр юм: мэдээлэл хулгайлах, суулгах дэгээ, нийлүүлэгчийн хонгилд холбогдсон C2. Б үе шат бол мөн танил хэлбэр - DDoS ботнетууд олон жилийн турш хортой npm багцуудын нэгдэл байсаар ирсэн. Ер бусын зүйл бол оператор нь ...-г илгээсэн явдал юм. сервер тал npm tarball доторх хэрэгслийн:

  • c2 — 4 мегабайтын эмхэтгэсэн Go ELF хоёртын файл
  • c2.go — уг хоёртын файлын 426 мөртэй Go эх сурвалж

Аль ч файлыг суулгах дэгээгээр дууддаггүй. Эдгээр нь хохирогчийн ачааллын нэг хэсэг биш юм. Тэд баримт бичгийн файлтай адил багцын санд байрладаг. Хамгийн үнэмшилтэй уншилт бол оператор нь файлын жагсаалтыг хяналгүйгээр хөгжүүлэлтийн ажлын модоо npm руу түлхсэн явдал юм - жинхэнэ OpSec хуудас - бөгөөд илгээсэн зүйл бол бүрэн хоёр талт хэрэгсэл юм: үйлчлүүлэгч нь хохирогч, оператор нь серверийг ажиллуулдаг.

This is the part of the story that justifies the “turnkey botnet kit” framing. Anyone who downloaded axois-utils:1.0.9 Татан буулгахаас өмнө зөвхөн хохирогчийн дээж төдийгүй ажиллаж буй C2 сервертэй байдаг.

Гол цэг, нэг өгүүлбэрээр

Нэг ижил хэвлэн нийтлэгч, нэг ижил багцын нэр, нэг ижил гурвалсан дэгээтэй шат, нэг ижил "хий үзэгдэл" брэндинг - гэхдээ Ачаалал нь мөнгө олох загварыг нэг шөнийн дотор өөрчилсөн: “би дахин зарж болох ургац хураалтын нууцууд”-аас “би түрээслэж болох үерийн хүчин чадлыг түрээслэх” хүртэл. Хамгаалагчдын ажиглах ёстой суулгах хугацааны TTP-үүд нь хоёр үе шатанд бараг ижил байдаг; гарын үсэг дээр суурилсан хамгаалалт нь А үе шатны түрийвчний замын мөрүүд эсвэл phantom.jsТүүний 7,667 шугамтай цуглуулагч В үе шатыг бүрэн алгасах байсан.

Огноо (UTC) үйл явдал
2026-05-15 Анхны хэвлэл: axois-utils:1.0.4 (LAN туршилтын угсралт, хөгжүүлэгчийн төхөөрөмж дээр 192.168.129.19)
2026-05-15 axois-utils:1.0.6 нийтлэгдсэн — А үе шат C2 руу солигдсон 80.200.28.28 Serveo туннелээр дамжуулан; эх сурвалжийн тайлбар // Change to '80.200.28.28' for public хөгжүүлэлт→бүтээгдэхүүний солилцоог баталгаажуулна
2026-05-16 chalk-tempalte:1.0.14 болон 1.0.16 нийтлэгдсэн — гинжлэгдсэн ачигч зарлах axois-utils:^1.0.7 ажиллах үеийн хамаарлын хувьд; Serveo дэд домэйныг эргүүлсэн
2026-05-16 А үе шатны кампанит ажлыг ердийн npm сканнердах явцад илрүүлсэн; батлагдсан хортой шийдвэрүүдийг хэрэгжүүлсэн
2026-05-17 axois-utils:1.0.9 published — payload pivot: PhantomBot DDoS recruit via localhost.run tunnel; operator-side c2 хоёртын болон c2.go эх сурвалжийг тарболд тээвэрлэсэн
2026-05-17 chalk-tempalte:1.0.19 болон 1.0.20 нийтлэгдсэн — одоо ч А үе шат (хулгайлагч); оператор одоо хоёр модулийг зэрэгцээ ажиллуулж байна
2026-05-17 Ердийн сканнердах явцад В үе шатыг илрүүлэх; бүх зүйлд хэрэгжсэн дүгнэлтүүд 2026-05-17 хувилбарууд
(үргэлжилж байгаа) Татан буулгах тайлан хүлээгдэж байна; нийтлэгдсэн дөрвөн багц бүгд бичиж байх үед бүртгэлд байгаа хэвээр байна

Буулт хийх үзүүлэлтүүд

Багцууд нь

Экосистем Багц Хувилбарууд
npm axois-utils (axios-ийн typosquat) 1.0.4, 1.0.6, 1.0.9
npm chalk-tempalte (typosquat of chalk-template) 1.0.14, 1.0.16, 1.0.19, 1.0.20

Зохиогчийн нэр

хээрийн үнэ цэнэ
npm нийтлэгч deadcode09284814
Нийтлэгчийн имэйл хаяг phantomdeadcode@tutamail.com
SCM шалгах ямар ч

Тушаал ба хяналт

Үе шат Төгсгөлийн цэг Тээвэр
A f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect Serveo HTTPS туннель
A 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect Serveo HTTPS туннель (өмнөх хувилбар)
A 80.200.28.28:443/collect Үндсэн VPS төгсгөлийн цэг
B b94b6bcfa27554.lhr.life:443/ localhost.run HTTPS урвуу туннел

Файлын дайжест (SHA-256)

Файлын SHA-256 тэмдэглэл
c2 (Go ELF, 4 MB) 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 Операторын талын C2 сервер, дотор тээвэрлэгддэг axois-utils:1.0.9
c2.go (426 мөр) 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 C2 хоёртын файлын эх код руу очно уу
distrube.js 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 B үе шатны бот клиент
phantom.js (chalk-tempalte:1.0.19) 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 А үе шатны итгэмжлэл / түрийвч цуглуулагч
phantom.js (chalk-tempalte:1.0.20) d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 А үе шатны цуглуулагч (1.0.20 хувилбар)
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 А үе шатны ачаалагч, хоёр хувилбарын хувьд байтаар ижил

Зохицуулалт ба урам зориг

Бид энэ кампанит ажлыг дараах байдлаар хянаж байна PhantomBot, операторын өөрийн брэндингийг авч Хэрэглэгчийн агент: PhantomBot/1.0 heartbeat header, the хий үзэгдэл-бот.үйлчилгээ системийн нэгж, com.phantom.bot LaunchAgent шошго болон phantomdeadcode@ имэйл хаяг. Оператор нь дор хаяж дөрвөн эд өлгийн зүйл дээр энэ нэрийн талаар тууштай байна.

Дохионы каталог

  • Хэвлэлийн газар - үхсэн код09284814 npm дээр. Нэг данстай бүртгэл, Tutamail нэг удаагийн имэйл, үгүй SCM баталгаажуулалт. Энэ кампанит ажлаас хойш өмнөх нийтлэлийн түүх байхгүй.
  • Брэндийн дахин хэрэглээ — “phantom” нь нийтлэгчийн имэйлд, А үе шатны цуглуулагчийн файлын нэрэнд гарч ирнэ (phantom.js), В үе шатны тогтвортой байдлын үйлчилгээний нэрэнд (хий үзэгдэл-бот.үйлчилгээ), LaunchAgent шошгон дээр (com.phantom.bot), мөн бот Хэрэглэгчийн Агент (PhantomBot/1.0).
  • Дэд бүтэц — A single VPS at 80.200.28.28 Сервео дэд домэйны эргэлтээр дамжуулан А үе шатны фронтууд; В үе шат нь а руу шилждэг localhost.run урвуу туннель (b94b6bcfa27554.lhr.life). Хоёр үйлчилгээ хоёулаа үнэ төлбөргүй бөгөөд операторын талаас зөвхөн гадагшаа чиглэсэн SSH шаарддаг бөгөөд энэ нь бага төсөвтэй, бага OpSec тохиргоотой нийцдэг.
  • Кодын хэв маяг — Энгийн JavaScript; ямар ч ойлгомжгүй, мөр кодчилолгүй, VM эсрэг шалгалтгүй. Хувьсагчдын нэрс нь тодорхой (Системийн мэдээллийг хулгайлах, executeCommand, httpFlood). Сэтгэгдэл distrube.js ирээдүйн оператор руу шууд хаягласан (“localhost.run HTTPS URL хаягаа ашиглана уу”), энэ нь файлыг ганц халдагч ашиглах биш, харин иж бүрдэл болгон дахин түгээх зориулалттай болохыг харуулж байна.
  • OpSec хуудас — B үе шатны tarball нь бот клиент болон операторын талын C2 серверийг хоёуланг нь илгээдэг (c2 ELF + c2.go эх сурвалж). Энэ нь файлын жагсаалтыг аудит хийлгүйгээр ажлын модоо npm руу түлхсэн оператортой тохирч байна. Оператор туршлагагүй эсвэл хэрэгсэл нь гэж хэлэв олон нийтэд түгээх бөгөөд C2 хоёртын файл нь бүтээгдэхүүний нэг хэсэг юм.
  • Өөрийгөө баталгаажуулах - axois-utils:1.0.4 эх сурвалжийн тайлбарыг агуулсан // Олон нийтийн хувьд '80.200.28.28' болгож өөрчлөх 12-р мөрөнд операторууд ихэвчлэн үгүйсгэдэг хөгжүүлэлт / үе шат / үйлдвэрлэлийн явцыг баталгаажуулж байна.

Хүсэл тэмүүлэл

А үе шатны ачаалал нь шууд санхүүгийн хулгай юм: итгэмжлэл, үүлэн түлхүүр, GitHub токен, крипто түрийвч бүгд шингэн дахин борлуулах зах зээлтэй. Б үе шат нь мөн санхүүгийн боловч шууд бус: DDoS-for-hire ("booter") үйлчилгээнүүд түрээсийн хүчин чадлыг минут тутамд нэмэгдүүлдэг бөгөөд энд илгээсэн ботууд нь эдгээр үйлчилгээнүүдийн ажилладаг нөөц юм. 30 секундын зүрхний цохилт, ерөнхий зорилтот/порт/үргэлжлэх хугацаа командын схем, таван протоколын үерийн зэвсэг нь standard ачаалагч операторын бүтээгдэхүүн.

Хоёр модулийг зэрэгцээ ажиллуулах — шохойн загвар: 1.0.19 болон 1.0.20 хулгайчийг үргэлжлүүлэн тээвэрлэх axois-utils:1.0.9 ботыг илгээдэг — оператор А үе шатыг орхихын оронд орлогын урсгалыг хедж хийж байгааг харуулж байна. Пивот нь нэмэлт, орлуулах зүйл биш.

Бидний нэхэмжилдэггүй зүйл

We have not been able to confirm a real-world identity behind the үхсэн код09284814 бариул бөгөөд бид энэ кампанит ажлыг ямар нэгэн нэрлэгдсэн аюул заналхийллийн оролцогч, бүлэг эсвэл улстай холбодоггүй. "Хий үзэгдэл" брэндинг нь эд өлгийн зүйлс дээр нэг операторыг санал болгоход хангалттай тогтвортой боловч C2 хоёртын файлын багц хэлбэрийн тээвэрлэлт нь холбоогүй бариулуудаас ирээдүйд илгээгдэх багцууд ижил кодыг дахин ашиглах боломжийг нээж өгдөг.

Үр нөлөө

Хууль ёсны суулт хийх бай axios болон шохойн загвар JavaScript экосистемд өргөн хэрэглэгддэг; axios зөвхөн хамгийн их татагдсан npm багцуудын шилдэг гучин багцын тоонд багтдаг. Typosquat нэрс нь жинхэнэ нэрсээс нэг товчлуурын зөрүүтэй байна (аксойзaxios, темпальтезагвар), мөн хоёулаа хэл шинжлэлийн хувьд үнэмшилтэй алдаатай үгс юм.

Бид устгахаас өмнө хортой хувилбаруудын найдвартай татаж авах статистик мэдээллийг авч чадаагүй - багцыг нийтлээгүйн дараа npm нь хувилбар бүрийн татаж авах тоог хадгалдаггүй бөгөөд npms.io-style прокси нь энэ хэмжээнд дуу чимээтэй байдаг. Түгжих файл нь нэртэй багц руу шийдэгддэг аливаа байгууллага axois-utils or шохойн загвар хэвлэн нийтлэгчээс үхсэн код09284814 алдагдсан гэж үзэх хэрэгтэй: байгаа бүх итгэмжлэлийг эргүүлэх process.env Нөлөөлөлд өртсөн хост дээр үйлдлийн систем бүрийн тогтвортой байдлын векторуудыг аудит хийж (доорх “Хамгаалагчид юу хийх ёстой вэ” хэсгийг үзнэ үү), хамаарлыг арилгана.

Шинээр гарч ирж буй хэв маяг

Энэхүү кампанит ажил нь саяхны хэд хэдэн npm ослын үед бидний харсан өөрчлөлтийг харуулж байна: Суурилуулах дэгээ тулгуур нь бат бөх хөрөнгө юм; ачааг сольж болноНэг ижил хэвлэн нийтлэгч, нэг ижил багц, нэг ижил урьдчилан суулгах / Суулгах / суулгасны дараах triple, and even the same version-bump cadence — the only thing that changed between axois-utils:1.0.6 болон axois-utils:1.0.9 файл байсан hooks run. Signature-based detection keyed to the Phase A payload (wallet-path strings, phantom.js7,667 мөрийн цуглуулагч, Serveo C2 хост) эхний гурван хувилбарыг тэмдэглэж, B үе шатыг бүрэн алгасах байсан.

Бидний хянаж байсан бусад 2026 оны кампанит ажлуудад мөн адил хэв маяг харагдаж байна: тогтвортой шаттай ганц оператор, итгэмжлэлийн хулгай, шалгалтанд хууртсан үйлчлүүлэгчдийн хооронд шилжих, Telegram-ботыг устгах, одоо DDoS-д элсэх. Ачааллын гарын үсэгт найддаг хамгаалагчид кампанит ажил бүрийн хоёр дахь шатанд ялагдсаар байх болно.

Үр дүн нь энэ юм Суулгах хугацааны TTP нь илүү сайн дохио юмГурвалсан install-hook мэдэгдэл, импортлодог install скриптүүд HTTPS or хүүхдийн_процесс, хэрэглэгчийн эхлүүлэх хавтас руу бичдэг скриптүүдийг суулгах, мөн үнэгүй урвуу туннелийн үйлчилгээнүүд дээр хост нэрсийг шийддэг скриптүүдийг суулгах (Serveo, localhost.run, ngrok, cloudflared) нь бүгд хууль ёсны багцуудад ховор бөгөөд хортой багцуудад түгээмэл байдаг.

Хамгаалагчид юу хийх ёстой вэ

  • Түгжих файлын аудит. Search every package-lock.json / утас.цоож / pnpm-lock.yaml танай байгууллагад яг тодорхой мөрүүдийг авахын тулд axois-utils болон шохойн загварАливаа тохиролцоог буулт гэж үз.
  • Rotate secrets нөлөөлөлд өртсөн хостууд дээр. А үе шатны SSH, cloud, GitHub, npm болон түрийвчний итгэмжлэлүүдийг бөөнөөр нь цуглуулсан. Байгаа бүх итгэмжлэлийг авч үзье. process.env, ~ / .ssh, ~/.aws, ~/.npmrc, ~/.config, эсвэл бусад .env* Нөлөөлөлд өртсөн хост дээрх файл ил болсон.
  • Тогтвортой байдлыг арилгах (B үе шат). Windows дээр устгах HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SystemUpdate, арилгах %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\system-update.batБолон schtasks /delete /tn SystemUpdate /fЛинукс дээр, crontab -e арилгах @reboot зангилаа …, systemctl –хэрэглэгч идэвхгүй болгох –одоо phantom-bot.service дараа нь устгах ~/.config/systemd/user/phantom-bot.service, скраб .bashrc / .zshrc / /etc/rc.localmacOS дээр, launchctl unload ~/Library/LaunchAgents/com.phantom.bot.plist дараа нь plist файлыг устгана уу.
  • C2 хостуудыг хаах. IOC хүснэгтийн дөрвөн C2 төгсгөлийн цэгийг гарах блокийн жагсаалтад нэмнэ үү. *.serveousercontent.com болон *.lhr.life Хэрэв таны орчин урвуу туннелийн үйлчилгээг хууль ёсны дагуу ашиглах боломжгүй бол бөөний худалдааг хааж болно.
  • Суулгах хугацааны TTP-ээр хайх, ачаа биш. бараа материалын цоожтой файлын оруулгууд нь багц.json зарласан урьдчилан суулгах, СуулгахБолон суулгасны дараах бүгд нэг скрипт рүү зааж байна. Багцын нас болон нийтлэгчийн баталгаажуулалтын төлөвийг харьцуулан шалгана уу. Энэ хэв маяг нь хууль ёсны багцуудад ховор тохиолддог бөгөөд PhantomBot дахин ашигладаг хамгийн найдвартай дохио юм.
  • C2 хоёртын файлын аудит. Татаж авсан хүн бүр axois-utils:1.0.9 операторын C2 сервертэй (c2 ELF, sha256 165fa92d…) дискэн дээр. Кэш болон CI артефактын сангуудыг сканнердах. Хоёртын файл өөрөө идэвхгүй байгаа ч ажлын станц дээр байгаа нь багц суулгагдсаны тодорхой нотолгоо юм.

Хаалтын шугам

Ижил оператор, ижил багц болон ижил суулгах дэгээ нь 48 цагийн дотор огт өөр аюул заналхийллийг үүсгэж чадна. Ачааллыг биш, харин тулгуурыг нь ажиглаарай.

sca-tools-програм хангамжийн-бүтцийн-шинжилгээний-хэрэгсэл
Програм хангамжийн эрсдэлээ эрэмбэлэх, засах, аюулгүй болгох
Үнэгүй бүртгэлээ аваарай.
Зээлийн картын шаардлагагүй.

Програм хангамжийн хөгжүүлэлт болон хүргэлтээ аюулгүй байлгаарай

Xygeni Product Suite-тэй хамт