TL; DR
Pubblikatur wieħed tal-npm, deadcode09284814, mexxa kampanja ta' typosquat kontra l-leġittimu axios u, chalk-template pakketti minn nofs Mejju 2026.
Il-kampanja bdiet bħala serq konvenzjonali ta’ kredenzjali u kartieri, billi tesfiltra d-dejta lejn Mina HTTPS ta' Serveo.
On 2026-05-17, Ma ' axois-utils:1.0.9, l-operatur biddel il-payload kompletament: l-istess scaffold triplu install-hook, l-istess pubblikatur, l-istess isem tal-pakkett.
Iżda l-iskritt tal-installazzjoni issa huwa reklutaġġ ta' botnet DDoS cross-platform.
Il-payload jitkellem ma' localhost.run mina u taċċetta kmandi ta' għargħar, u b'hekk tibdel l-ambjenti infettati f'parti minn botnet kapaċi għad-DDoS.
L-operatur saħansitra bagħat il- Binarju tas-server C2 ġewwa t-tarball, li juri eskalazzjoni ċara mis-serq tal-kredenzjali għall-infrastruttura attiva tal-botnet.
Żewġ pakketti, erba' verżjonijiet għadhom attivi fir-reġistru, u operatur wieħed li issa qed iħaddem iż-żewġ moduli b'mod parallel.
Severità: għolja.
L-Attakk: Kif Jaħdem
Il-kampanja hija mibnija fuq struttura ta' kunsinna apposta tedjanti: żewġ ismijiet ta' pakketti typosquat, ittra waħda differenti minn pakketti b'mijiet ta' miljuni ta' downloads kull ġimgħa (Axios, mudell tal-ġibs), u installazzjoni tripla hooks li jiggarantixxu l-eżekuzzjoni. Dak li hu interessanti huwa x'inhu l-armar iġorr — u l-fatt li l-operatur biddel il-merkanzija mingħajr ma biddel xejn aktar.
L-armar kondiviż
Kull verżjoni ppubblikata taż-żewġ pakketti tiddikjara l-istess tliet ċikli tal-ħajja hooks in package.json:
"scripts": { "preinstall": "node <payload>.js", "install": "node <payload>.js", "postinstall": "node <payload>.js" } Elenkar tal-payload taħt it-tlieta li huma hooks huwa esaġerat — wara l-installazzjoni waħdu jaħdem f'inadempjenza npm jinstallawL-għażla hija importanti: npm install –ignore-scripts jaqbeż l-iskripts, iżda diversi flussi tax-xogħol komuni (restawr tal-cache tas-CI li jerġgħu jħaddmu ċ-ċiklu tal-ħajja hooks b'mod selettiv, jew żviluppaturi li jagħmlu awditjar biss wara l-installazzjoni) jagħmlu dikjarazzjoni triplament żejda l-aktar għażla sikura għall-attakkant.
template tal-ġibs iżid mekkaniżmu ieħor: jiddikjara axois-utils:^1.0.7 bħala runtime dipendenzaInstallazzjoni tat-typosquatted mudell tal-ġibs għalhekk jiġbed ukoll it-typosquat aħwa, u ż-żewġ payloads jaħdmu. Iż-żewġ pakketti huma par ikkoordinat, mhux listi indipendenti.
Fażi A — serq ta' kredenzjali / kartiera (2026-05-15 → preżenti)
Il-Fażi A hija l-payload oriġinali. Il-loader huwa qasir postinstall.js li tipponta lejn mina inversa HTTPS ta' Serveo:
// chalk-tempalte/postinstall.js:11-13 const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com"; const C2_PORT = 443; const C2_PATH = '/collect'; Is-sottodominju Serveo jikkodifika l-IP tad-destinazzjoni (80.200.28.28) direttament fl-isem tal-host — konvenzjoni rikonoxxibbli għal dak is-servizz. L-operatur idawwar il-prefiss każwali tas-subdomain bejn il-verżjonijiet biex jevadi l-blocklists tad-dominji naïve, iżda l-IP sottostanti qatt ma jiċċaqlaq. (chalk-tempalte:1.0.14 użati 8a3e818ea8f11186-80-200-28-28…; 1.0.16 / 1.0.19 / 1.0.20 użu f04a273bd84c0622-….)
postinstall.js ma jimpurtax x'qed jiġri phantom.js, modulu ta' "kollettur" magħqud b'7,667 linja. phantom.js jimxi lill-ospitant għal:
Ċwievet privati SSH (~/.ssh/*) |
.npmrc kontenut u kwalunkwe npm_* tokens tal-ambjent |
| Fajls tal-kredenzjali tal-AWS, GCP, u Azure |
Regex tat-token tal-aċċess personali ta' GitHub (ghp_*, gho_*, ghu_*, ghs_*) |
| Artefatti tal-kripto-kartiera għal Bitcoin, Exodus, Electrum, Monero, Litecoin, Dogecoin, Zcash, Dash |
Rikursiv .env* jimxu permezz ~/projects, ~/dev, ~/code, ~/workspace, u l-installazzjoni cwd |
Storji tal-qoxra u sħaħ process.env |
Il-pakkett huwa POSTjat lill-mina Serveo f' / iġborM'hemm l-ebda offuskazzjoni, l-ebda loġika anti-VM, l-ebda stadjar — l-imħatra tal-operatur hija fuq il-volum u l-veloċità.
Fażi B — Reklutaġġ ta' PhantomBot DDoS (2026-05-17, axois-utils:1.0.9 biss)
Il-Fażi B tissostitwixxi phantom.js + postinstall.js b'fajl wieħed bl-isem distrube.js (l-iżball tipografiku huwa tal-operatur). L-armar tat-triple-hook f'package.json ma nbidilx; il-pakkett iżomm l-istess isem, ambitu, u mudell ta' version-bump. Minn barra, axois-utils:1.0.9 jidher qisu segwitu minuri ta' 1.0.6. Minn ġewwa, huwa familja ta' malware differenti.
distrube.js jiftaħ b'blokk ta' konfigurazzjoni li jsemmi l-marka tal-operatur stess:
// axois-utils-1.0.9/distrube.js:11-15 |
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally) |
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel |
const C2_PORT = 443; // HTTPS port - tunnel handles SSL |
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`; |
Il-kummenti huma indirizzati lil operatur futur li jħaddem il-kit (“Uża l-URL HTTPS localhost.run tiegħek”). Dan, flimkien ma’ dak li jiġi mal-klijent tal-bot, huwa s-sinjal li din mhix biss payload tal-vittma — huwa l-kit.
Il-fluss:
- Persistenza jaħdem l-ewwel. L-iskritt jinstalla ruħu fi tliet modi differenti għal kull OS (reġistru Mexxi + Fowlder tal-istartjar + sktasks fuq il-Windows; crontab + servizz tal-bot fantażma unità systemd + .bashrc/.zshrc żid + /etc/rc.local fuq Linux; LaunchAgent com.phantom.bot.plist fuq macOS). L-isem tas-servizz tal-persistenza u t-tikketta LaunchAgent huma t-tnejn bot fantażma / com.phantom.bot, li huwa wkoll minn fejn ġej l-isem tal-kampanja.
- Informazzjoni tas-sistema exfil jaħdem darba — POST ta' fingerprint ta' darba waħda għal b94b6bcfa27554.lhr.life:443/collect li jġorr l-isem tal-host, il-pjattaforma, l-arch, il-username, is-CPU/RAM, l-interfaces tan-netwerk, process.env, cwd, homedir, il-verżjoni tan-node, u l-IP pubbliku. Dan huwa ħafna inqas aggressiv mill-Fażi A: l-ebda SSH, l-ebda wallets, l-ebda rikursjoni .env. Xogħol il-bot huwa li jirreġistra, mhux li jisraq.
- Ċirkwit tal-taħbit tal-qalb jiftaħ HTTPS POST kull 30 sekonda għal b94b6bcfa27554.lhr.life:443/. L-User-Agent huwa PhantomBot/1.0. Il-verifika TLS hija diżattivata espliċitament (rejectUnauthorized: false). Ir-rispons C2 jiġi analizzat bħala JSON tal-forma {type, target, port, duration, threads, method} u mibgħut.
- Arsenal tal-għargħar huwa konness ma' sitt kmandi:
| Tip ta' kmand | Moduli | Noti |
|---|---|---|
| ping | Tweġiba ta' Liveness | Bot jidentifika lilu nnifsu |
| http | Għargħar HTTP | Għargħar ta' talba tas-Saff 7 |
| https | Għargħar HTTPS | L-istess bħal http, imgeżwer bit-TLS |
| tcp | Għargħar tat-TCP | Spam ta' tagħbija każwali ta' 65 KB |
| udp | Għargħar UDP | Pakketti UDP ta' 65,507 byte |
| rapidu | DoS b'reset rapidu HTTP/2 | It-teknika tal-2023 CVE-2023-44487 |
Il-ħames moduli tal-għargħar kollha jieħdu mira, port, kemm iddum, u ħjut argument — il-bot huwa flooder ġeneriku għall-kiri, mhux immirat lejn xi vittma partikolari. Il-lista tal-vittmi tal-operatur tinsab fuq is-C2, mhux fil-pakkett.
X'hemm Ġdid Hawn — il-binarju C2 mibgħut
Fażi A hija forma familjari: serq ta' kredenzjali, ganċ ta' installazzjoni, C2 imminat mill-bejjiegħ. Fażi B hija Wkoll forma familjari — il-botnets DDoS ilhom parti integrali minn pakketti npm malizzjużi għal snin sħaħ. Dak li mhux tas-soltu huwa li l-operatur bagħat il- naħa tas-server tal-kit ġewwa t-tarball tal-npm:
- c2 — binarju Go ELF ikkumpilat ta' 4 megabytes
- c2.go — is-sors Go ta' 426 linja għal dak il-binarju
L-ebda fajl ma jiġi invokat minn xi hook tal-installazzjoni. Mhumiex parti mill-payload tal-vittma. Jinsabu fid-direttorju tal-pakkett bl-istess mod kif jagħmel fajl ta' dokumentazzjoni. L-aktar qari plawżibbli huwa li l-operatur imbotta s-siġra tax-xogħol tal-iżvilupp tagħhom għal npm mingħajr ma kkura l-lista tal-fajls — żball reali tal-OpSec — u dak li ntbagħat huwa l-kit komplut b'żewġ naħat: il-klijent li tħaddem il-vittma, u s-server li jħaddem l-operatur.
Din hija l-parti tal-istorja li tiġġustifika l-qafas ta’ “turnkey botnet kit”. Kull min niżżel axois-utils:1.0.9 qabel it-takedown m'għandux biss kampjun tal-vittma — għandhom server C2 li jaħdem.
Il-pern, f'sentenza waħda
L-istess pubblikatur, l-istess ismijiet ta' pakketti, l-istess struttura bi tliet ganċijiet, l-istess branding "fantażma" — imma Il-payload biddel il-mudell ta' monetizzazzjoni matul il-lejlminn “sigrieti tal-ħsad li nista’ nerġa’ nbigħ” għal “kapaċità ta’ għargħar tal-kiri li nista’ nikri”. It-TTPs tal-ħin tal-installazzjoni li d-difensuri għandhom ikunu qed joqogħdu attenti għalihom huma kważi identiċi fiż-żewġ fażijiet; difiżi bbażati fuq il-firma marbuta mal-kordi tal-mogħdija tal-kartiera tal-Fażi A jew ma’ phantom.jsIl-kollettur ta' 7,667 linja kien ikun tilef il-Fażi B għalkollox.
| Data (UTC) | avveniment |
|---|---|
| 2026-05-15 | L-ewwel pubblikazzjoni: axois-utils:1.0.4 (Bini tat-test tal-LAN, rigg tal-iżvilupp fuq 192.168.129.19) |
| 2026-05-15 | axois-utils:1.0.6 ippubblikat — Il-Fażi A C2 inbidlet għal 80.200.28.28 permezz tal-mina Serveo; il-kumment tas-sors // Change to '80.200.28.28' for public jikkonferma l-iskambju dev→prod |
| 2026-05-16 | chalk-tempalte:1.0.14 u, 1.0.16 ippubblikat — loader ikkatinat jiddikjara axois-utils:^1.0.7 bħala dipendenza ta' runtime; is-sottodominju ta' Serveo ġie mdawwar |
| 2026-05-16 | Kampanja tal-Fażi A skoperta waqt skennjar ta' rutina tal-npm; ġew applikati verdetti kkonfermati-malizzjużi |
| 2026-05-17 | axois-utils:1.0.9 ippubblikat — payload pivot: PhantomBot DDoS jirrekluta permezz ta' localhost.run tunnel; min-naħa tal-operatur c2 binarju u c2.go sors mibgħut fit-tarball |
| 2026-05-17 | chalk-tempalte:1.0.19 u, 1.0.20 ippubblikat — għadu Fażi A (stealer); l-operatur issa qed iħaddem iż-żewġ moduli b'mod parallel |
| 2026-05-17 | Skoperta tal-Fażi B waqt skennjar ta' rutina; verdetti applikati fil-partijiet kollha 2026-05-17 Verżjonijiet |
| (Għadu għaddej) | Rapporti ta' tneħħija pendenti; l-erba' pakketti ppubblikati kollha għadhom disponibbli fir-reġistru fil-ħin tal-kitba. |
Indikaturi ta' Kompromess
Pakketti
| Ekosistema | Pakkett | verżjonijiet |
|---|---|---|
| npm | axois-utils (typosquat ta' axios) | 1.0.4, 1.0.6, 1.0.9 |
| npm | chalk-tempalte (typosquat ta' chalk-template) | 1.0.14, 1.0.16, 1.0.19, 1.0.20 |
Identità tal-awtur
| Qasam | valur |
|---|---|
| pubblikatur tal-npm | deadcode09284814 |
| Email tal-pubblikatur | phantomdeadcode@tutamail.com |
| SCM verifika | xejn |
Kmand u kontroll
| Fażi | Endpoint | trasport |
|---|---|---|
| A | f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect | Mina HTTPS ta' Serveo |
| A | 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect | Mina HTTPS ta' Serveo (verżjoni preċedenti) |
| A | 80.200.28.28:443/collect | Endpoint tal-VPS sottostanti |
| B | b94b6bcfa27554.lhr.life:443/ | localhost.run HTTPS reverse-tunnel |
Diġestijiet tal-fajls (SHA-256)
| File | SHA-256 | Noti |
|---|---|---|
c2 (Mur ELF, 4 MB) | 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 | Server C2 min-naħa tal-operatur, mibgħut ġewwa axois-utils:1.0.9 |
c2.go (426 linji) | 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 | Mur fis-sors għall-binarju C2 |
distrube.js | 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 | Klijent tal-bot tal-Fażi B |
phantom.js (chalk-tempalte:1.0.19) | 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 | Kollezzjonista tal-kredenzjali / kartiera tal-Fażi A |
phantom.js (chalk-tempalte:1.0.20) | d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 | Kollettur tal-Fażi A (varjant 1.0.20) |
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) | ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 | Loader tal-Fażi A, identiku għall-byte fiż-żewġ verżjonijiet |
Attribuzzjoni u Motivazzjoni
Aħna nsegwu din il-kampanja bħala PhantomBot, billi ħa l-marka tal-operatur stess mill- Aġent tal-Utent: PhantomBot/1.0 header tal-qalb, l- servizz tal-bot fantażma unità tas-sistema, l- com.phantom.bot It-tikketta LaunchAgent, u l- kodiċi mejjet fantażma@ indirizz elettroniku. L-operatur huwa konsistenti dwar dan l-isem f'mill-inqas erba' artefatti.
Katalgu tas-sinjali
- Yayımcı,en - kodiċi mejjet09284814 fuq npm. Kont b'manku wieħed, email li tintrema wara l-użu ta' Tutamail, le SCM verifika. L-ebda storja ta' pubblikazzjoni preċedenti lil hinn minn din il-kampanja.
- Użu mill-ġdid tal-marka — “phantom” jidher fl-email tal-pubblikatur, fl-isem tal-fajl tal-kollettur tal-Fażi A (phantom.js), fl-isem tas-servizz tal-persistenza tal-Fażi B (servizz tal-bot fantażma), fit-tikketta LaunchAgent (com.phantom.bot), u fil-bot User-Agent (PhantomBot/1.0).
- Infrastruttura — VPS wieħed fuq 80.200.28.28 tiffaċċja l-Fażi A permezz tar-rotazzjoni tas-sottodominju Serveo; il-Fażi B timxi għal localhost.run mina inversa (b94b6bcfa27554.lhr.life). Iż-żewġ servizzi tal-bejjiegħ huma bla ħlas u jeħtieġu biss SSH 'il barra min-naħa tal-operatur, konsistenti ma' setups bi baġit baxx u OpSec baxx.
- Stil tal-kodiċi — JavaScript sempliċi kollu kemm hu; l-ebda offuskazzjoni, l-ebda kodifikazzjoni ta' strings, l-ebda kontrolli anti-VM. L-ismijiet tal-varjabbli huma deskrittivi (stealSystemInfo, eżegwixxiKmand, httpFlood). Kummenti fi distrube.js jindirizzaw direttament operatur futur (“Uża l-URL HTTPS localhost.run tiegħek”), u jissuġġerixxu li l-fajl kien maħsub biex jiġi mqassam mill-ġdid bħala kit, mhux użat minn attakkant wieħed.
- Slip tal-OpSec — It-tarball tal-Fażi B jinkludi kemm il-klijent tal-bot kif ukoll is-server C2 min-naħa tal-operatur (c2 ELF + c2.go sors). Dan huwa konsistenti ma' operatur li mbotta s-siġra tax-xogħol tiegħu għal npm mingħajr ma awditja l-lista tal-fajls. Jew l-operatur m'għandux esperjenza, jew il-kit huwa fisser li għandu jiġi distribwit pubblikament u l-binarju C2 huwa parti mill-prodott.
- Awtokonferma - axois-utils:1.0.4 fih il-kumment tas-sors // Ibdel għal '80.200.28.28' għall-pubbliku fuq il-linja 12, li tikkonferma l-progressjoni tal-iżvilupp / staging / produzzjoni li l-operaturi tipikament jiċħdu.
Motivazzjoni
Il-payload tal-Fażi A huwa serq finanzjarju sempliċi: kredenzjali, cloud keys, tokens GitHub, u crypto wallets kollha għandhom swieq ta' bejgħ mill-ġdid likwidi. Il-Fażi B hija wkoll finanzjarja, iżda indiretta: servizzi DDoS-for-hire ("booter") jikru kapaċità ta' għargħar bil-minuta, u bots bħal dak mibgħut hawn huma l-inventarju li fuqu jaħdmu dawk is-servizzi. It-taħbit tal-qalb ta' 30 sekonda, il-ġeneriku mira/port/kemm iddum skema ta' kmand, u l-arsenal ta' għargħar b'ħames protokolli huma l- standard prodott ta' operatur ta' booter.
Tħaddim taż-żewġ moduli b'mod parallel — chalk-tempalte:1.0.19 u, 1.0.20 kompli tibgħat il-ħalliel waqt li axois-utils:1.0.9 jibgħat il-bot — jissuġġerixxi li l-operatur qed jiħedded il-flussi tad-dħul minflok ma jabbanduna l-Fażi A. Il-pern huwa Barra minn hekk, mhux sostitut.
Dak li m’aħniex qed nitolbu
Ma stajniex nikkonfermaw identità fid-dinja reali wara l- kodiċi mejjet09284814 handle, u ma nattribwixxux din il-kampanja lil xi attur ta' theddid, grupp, jew pajjiż imsemmi. Il-branding "fantażma" huwa konsistenti biżżejjed fl-artefatti kollha biex jissuġġerixxi operatur wieħed, iżda t-tbaħħir stil kit tal-binarju C2 iħalli miftuħa l-possibbiltà li pakketti futuri minn handles mhux relatati jerġgħu jużaw l-istess kodiċi.
Impatt, Xejriet u X'Għandhom Jagħmlu d-Difensuri
impatt
Il-miri leġittimi tal-iskwad Axios u, mudell tal-ġibs huma dipendenti ħafna fuqhom fl-ekosistema ta' JavaScript; Axios waħdu jinsab fost it-tletin pakkett npm l-aktar imniżżla. L-ismijiet tat-typosquat huma buttuna waħda 'l bogħod minn dawk reali (axois ↔ Axios, template ↔ template), u t-tnejn huma żbalji ortografiċi lingwistikament plawżibbli.
Ma stajniex niksbu statistika affidabbli dwar it-tniżżil għall-verżjonijiet malizzjużi qabel it-tneħħija — npm ma jżommx l-għadd tat-tniżżil għal kull verżjoni wara li pakkett ma jkunx ġie ppubblikat, u npms.ioIl-proxies tal-istil huma storbjużi f'din l-iskala. Kull organizzazzjoni li l-lockfile tagħha jirriżolvi għal pakkett bl-isem axois-utils or template tal-ġibs mingħand il-pubblikatur kodiċi mejjet09284814 għandhom jiġu ttrattati bħala kompromessi: dawwar kull kredenzjali preżenti fi proċess.ambjent fuq il-host affettwat, awditja l-vetturi tal-persistenza għal kull OS (ara "X'għandhom jagħmlu d-difensuri" hawn taħt), u neħħi d-dipendenza.
Mudelli emerġenti
Din il-kampanja hija eżempju ta’ bidla li rajna f’diversi inċidenti reċenti tal-npm: L-armar tal-ganċ tal-installazzjoni huwa l-assi durabbli; il-payload jista' jinbidelL-istess pubblikatur, l-istess pakkett, l-istess preinstallazzjoni / jinstallaw / wara l-installazzjoni triplu, u anke l-istess kadenza tal-verżjoni-bump — l-unika ħaġa li nbidlet bejn axois-utils:1.0.6 u, axois-utils:1.0.9 kien il-fajl hooks tħaddim. Sejbien ibbażat fuq il-firma marbut mal-payload tal-Fażi A (strings tal-wallet-path, phantom.jsIl-kollettur ta' 7,667 linja, il-host Serveo C2) kien jimmarka l-ewwel tliet verżjonijiet u jitlef il-Fażi B għalkollox.
L-istess xejra hija viżibbli f'kampanji oħra tal-2026 li segwejna: operatur wieħed b'qafas stabbli, li jibdel bejn is-serq tal-kredenzjali, klijenti li jqarrqu bl-eżamijiet, it-tkeċċija minn Telegram-bot, u issa r-reklutaġġ tad-DDoS. Id-difensuri li jiddependu fuq il-firem tal-payload se jibqgħu jitilfu t-tieni rawnd ta' kull kampanja.
Il-korollarju huwa li It-TTPs fil-ħin tal-installazzjoni huma sinjal aħjarDikjarazzjonijiet tripli ta' install-hook, skripts ta' installazzjoni li jimportaw https or child_process, installa skripts li jiktbu fil-folders tal-istartjar tal-utent, u installa skripts li jirriżolvu l-ismijiet tal-hosts fuq servizzi b'xejn ta' reverse-tunnel (Serveo, localhost.run, ngrok, cloudflared) huma kollha rari f'pakketti leġittimi u komuni f'pakketti malizzjużi.
X'għandhom jagħmlu d-difensuri
- Verifika tal-fajl tal-illokkjar. Fittex kull package-lock.json / ħajta.serratura / pnpm-lock.yaml fl-organizzazzjoni tiegħek għall-kordi eżatti axois-utils u, template tal-ġibsIttratta kwalunkwe partita bħala kompromess.
- Dawwar is-sigrieti fuq l-ospiti affettwati. Kredenzjali SSH, cloud, GitHub, npm, u wallet miġbura bl-ingrossa fil-Fażi A. Assumi kull kredenzjali li qatt kienet preżenti fi proċess.ambjent, ~ / .ssh, ~/.aws, ~/.npmrc, ~ / .config, jew kwalunkwe .env* Il-fajl fuq il-host affettwat ikun espost.
- Neħħi l-persistenza (Fażi B). Fuq il-Windows, ħassar HKCU\Software\Microsoft\Windows\Verżjoni Kurrenti\Run\Aġġornament tas-Sistem, neħħi %APPDATA%\Microsoft\Windows\Menu tal-Bidu\Programmi\Istartjar\aġġornament tas-sistema.bat, u schtasks /delete /tn Aġġornament tas-Sistema /fFuq Linux, crontab -e u neħħi @nodu tar-reboot …, systemctl –utent iddiżattiva –issa phantom-bot.service imbagħad ħassar ~/.config/systemd/user/phantom-bot.service, għorik .bashrc / .zshrc / /etc/rc.localFuq macOS, launchctl unload ~/Library/LaunchAgents/com.phantom.bot.plist imbagħad ħassar il-plist.
- Imblokka l-ospiti C2. Żid l-erba' endpoints C2 fit-tabella tal-IOC mal-lista ta' blokki tal-ħruġ tiegħek. *.serveousercontent.com u, *.lhr.life jista' jiġi mblukkat bl-ingrossa jekk l-ambjent tiegħek m'għandux użu leġittimu għal servizzi ta' reverse-tunnel.
- Kaċċa skont it-TTP tal-ħin tal-installazzjoni, mhux tagħbija utli. Entrati tal-fajl tal-illokkjar tal-inventarju li package.json iddikjarat preinstallazzjoni, jinstallaw, u wara l-installazzjoni kollha jippuntaw lejn l-istess skript. Iċċekkja mal-età tal-pakkett u l-istatus tal-verifika tal-pubblikatur. Dan il-mudell huwa rari f'pakketti leġittimi u huwa l-aktar sinjal affidabbli li PhantomBot jerġa' juża.
- Awditjar għall-binarju C2. Kull min niżżel axois-utils:1.0.9 għandu s-server C2 tal-operatur (c2 ELF, sha256 165fa92d…) fuq id-diska. Skennja l-caches u l-ħażniet tal-artefatti tas-CI. Il-binarju huwa inattiv waħdu, iżda l-preżenza tiegħu fuq workstation hija evidenza ċara li l-pakkett ġie installat.
Linja tal-għeluq
L-istess operatur, l-istess pakkett, u l-istess hook ta' installazzjoni jistgħu jwasslu theddidiet kompletament differenti fi żmien 48 siegħa. Oqgħod attent għall-scaffolding, mhux għall-payload.




