PhantomBot Minn Serq ta' Kredenzjali għal Botnet

PhantomBot: Kampanja Typosquat li Bidlet minn Serq ta' Kredenzjali għal Kit ta' Botnet Turnkey

TL; DR

Pubblikatur wieħed tal-npm, deadcode09284814, mexxa kampanja ta' typosquat kontra l-leġittimu axios u, chalk-template pakketti minn nofs Mejju 2026.

Il-kampanja bdiet bħala serq konvenzjonali ta’ kredenzjali u kartieri, billi tesfiltra d-dejta lejn Mina HTTPS ta' Serveo.

On 2026-05-17, Ma ' axois-utils:1.0.9, l-operatur biddel il-payload kompletament: l-istess scaffold triplu install-hook, l-istess pubblikatur, l-istess isem tal-pakkett.

Iżda l-iskritt tal-installazzjoni issa huwa reklutaġġ ta' botnet DDoS cross-platform.

Il-payload jitkellem ma' localhost.run mina u taċċetta kmandi ta' għargħar, u b'hekk tibdel l-ambjenti infettati f'parti minn botnet kapaċi għad-DDoS.

L-operatur saħansitra bagħat il- Binarju tas-server C2 ġewwa t-tarball, li juri eskalazzjoni ċara mis-serq tal-kredenzjali għall-infrastruttura attiva tal-botnet.

Żewġ pakketti, erba' verżjonijiet għadhom attivi fir-reġistru, u operatur wieħed li issa qed iħaddem iż-żewġ moduli b'mod parallel.

Severità: għolja.

Aħbarijiet ewlenin tal-IOC Kwalunkwe verżjoni axois-utils jew chalk-tempalte mill-pubblikatur deadcode09284814

L-Attakk: Kif Jaħdem

Il-kampanja hija mibnija fuq struttura ta' kunsinna apposta tedjanti: żewġ ismijiet ta' pakketti typosquat, ittra waħda differenti minn pakketti b'mijiet ta' miljuni ta' downloads kull ġimgħa (Axios, mudell tal-ġibs), u installazzjoni tripla hooks li jiggarantixxu l-eżekuzzjoni. Dak li hu interessanti huwa x'inhu l-armar iġorr — u l-fatt li l-operatur biddel il-merkanzija mingħajr ma biddel xejn aktar.

L-armar kondiviż

Kull verżjoni ppubblikata taż-żewġ pakketti tiddikjara l-istess tliet ċikli tal-ħajja hooks in package.json:

"scripts": {    "preinstall":  "node <payload>.js",    "install":     "node <payload>.js",    "postinstall": "node <payload>.js"  } 

Elenkar tal-payload taħt it-tlieta li huma hooks huwa esaġerat — wara l-installazzjoni waħdu jaħdem f'inadempjenza npm jinstallawL-għażla hija importanti: npm install –ignore-scripts jaqbeż l-iskripts, iżda diversi flussi tax-xogħol komuni (restawr tal-cache tas-CI li jerġgħu jħaddmu ċ-ċiklu tal-ħajja hooks b'mod selettiv, jew żviluppaturi li jagħmlu awditjar biss wara l-installazzjoni) jagħmlu dikjarazzjoni triplament żejda l-aktar għażla sikura għall-attakkant.

template tal-ġibs iżid mekkaniżmu ieħor: jiddikjara axois-utils:^1.0.7 bħala runtime dipendenzaInstallazzjoni tat-typosquatted mudell tal-ġibs għalhekk jiġbed ukoll it-typosquat aħwa, u ż-żewġ payloads jaħdmu. Iż-żewġ pakketti huma par ikkoordinat, mhux listi indipendenti.

Fażi A — serq ta' kredenzjali / kartiera (2026-05-15 → preżenti)

Il-Fażi A hija l-payload oriġinali. Il-loader huwa qasir postinstall.js li tipponta lejn mina inversa HTTPS ta' Serveo:

// chalk-tempalte/postinstall.js:11-13  const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com";  const C2_PORT = 443;  const C2_PATH = '/collect'; 

Is-sottodominju Serveo jikkodifika l-IP tad-destinazzjoni (80.200.28.28) direttament fl-isem tal-host — konvenzjoni rikonoxxibbli għal dak is-servizz. L-operatur idawwar il-prefiss każwali tas-subdomain bejn il-verżjonijiet biex jevadi l-blocklists tad-dominji naïve, iżda l-IP sottostanti qatt ma jiċċaqlaq. (chalk-tempalte:1.0.14 użati 8a3e818ea8f11186-80-200-28-28…; 1.0.16 / 1.0.19 / 1.0.20 użu f04a273bd84c0622-….)

postinstall.js ma jimpurtax x'qed jiġri phantom.js, modulu ta' "kollettur" magħqud b'7,667 linja. phantom.js jimxi lill-ospitant għal:

Ċwievet privati ​​SSH (~/.ssh/*)
.npmrc kontenut u kwalunkwe npm_* tokens tal-ambjent
Fajls tal-kredenzjali tal-AWS, GCP, u Azure
Regex tat-token tal-aċċess personali ta' GitHub (ghp_*, gho_*, ghu_*, ghs_*)
Artefatti tal-kripto-kartiera għal Bitcoin, Exodus, Electrum, Monero, Litecoin, Dogecoin, Zcash, Dash
Rikursiv .env* jimxu permezz ~/projects, ~/dev, ~/code, ~/workspace, u l-installazzjoni cwd
Storji tal-qoxra u sħaħ process.env

Il-pakkett huwa POSTjat lill-mina Serveo f' / iġborM'hemm l-ebda offuskazzjoni, l-ebda loġika anti-VM, l-ebda stadjar — l-imħatra tal-operatur hija fuq il-volum u l-veloċità.

Fażi B — Reklutaġġ ta' PhantomBot DDoS (2026-05-17, axois-utils:1.0.9 biss)

Il-Fażi B tissostitwixxi phantom.js + postinstall.js b'fajl wieħed bl-isem distrube.js (l-iżball tipografiku huwa tal-operatur). L-armar tat-triple-hook f'package.json ma nbidilx; il-pakkett iżomm l-istess isem, ambitu, u mudell ta' version-bump. Minn barra, axois-utils:1.0.9 jidher qisu segwitu minuri ta' 1.0.6. Minn ġewwa, huwa familja ta' malware differenti.

distrube.js jiftaħ b'blokk ta' konfigurazzjoni li jsemmi l-marka tal-operatur stess:

// axois-utils-1.0.9/distrube.js:11-15
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally)
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel
const C2_PORT = 443; // HTTPS port - tunnel handles SSL
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`;

Il-kummenti huma indirizzati lil operatur futur li jħaddem il-kit (“Uża l-URL HTTPS localhost.run tiegħek”). Dan, flimkien ma’ dak li jiġi mal-klijent tal-bot, huwa s-sinjal li din mhix biss payload tal-vittma — huwa l-kit.

Il-fluss:

  1. Persistenza jaħdem l-ewwel. L-iskritt jinstalla ruħu fi tliet modi differenti għal kull OS (reġistru Mexxi + Fowlder tal-istartjar + sktasks fuq il-Windows; crontab + servizz tal-bot fantażma unità systemd + .bashrc/.zshrc żid + /etc/rc.local fuq Linux; LaunchAgent com.phantom.bot.plist fuq macOS). L-isem tas-servizz tal-persistenza u t-tikketta LaunchAgent huma t-tnejn bot fantażma / com.phantom.bot, li huwa wkoll minn fejn ġej l-isem tal-kampanja.
  2. Informazzjoni tas-sistema exfil jaħdem darba — POST ta' fingerprint ta' darba waħda għal b94b6bcfa27554.lhr.life:443/collect li jġorr l-isem tal-host, il-pjattaforma, l-arch, il-username, is-CPU/RAM, l-interfaces tan-netwerk, process.env, cwd, homedir, il-verżjoni tan-node, u l-IP pubbliku. Dan huwa ħafna inqas aggressiv mill-Fażi A: l-ebda SSH, l-ebda wallets, l-ebda rikursjoni .env. Xogħol il-bot huwa li jirreġistra, mhux li jisraq.
  3. Ċirkwit tal-taħbit tal-qalb jiftaħ HTTPS POST kull 30 sekonda għal b94b6bcfa27554.lhr.life:443/. L-User-Agent huwa PhantomBot/1.0. Il-verifika TLS hija diżattivata espliċitament (rejectUnauthorized: false). Ir-rispons C2 jiġi analizzat bħala JSON tal-forma {type, target, port, duration, threads, method} u mibgħut.
  4. Arsenal tal-għargħar huwa konness ma' sitt kmandi:
Tip ta' kmand Moduli Noti
ping Tweġiba ta' Liveness Bot jidentifika lilu nnifsu
http Għargħar HTTP Għargħar ta' talba tas-Saff 7
https Għargħar HTTPS L-istess bħal http, imgeżwer bit-TLS
tcp Għargħar tat-TCP Spam ta' tagħbija każwali ta' 65 KB
udp Għargħar UDP Pakketti UDP ta' 65,507 byte
rapidu DoS b'reset rapidu HTTP/2 It-teknika tal-2023 CVE-2023-44487

Il-ħames moduli tal-għargħar kollha jieħdu mira, port, kemm iddum, u ħjut argument — il-bot huwa flooder ġeneriku għall-kiri, mhux immirat lejn xi vittma partikolari. Il-lista tal-vittmi tal-operatur tinsab fuq is-C2, mhux fil-pakkett.

X'hemm Ġdid Hawn — il-binarju C2 mibgħut

Fażi A hija forma familjari: serq ta' kredenzjali, ganċ ta' installazzjoni, C2 imminat mill-bejjiegħ. Fażi B hija Wkoll forma familjari — il-botnets DDoS ilhom parti integrali minn pakketti npm malizzjużi għal snin sħaħ. Dak li mhux tas-soltu huwa li l-operatur bagħat il- naħa tas-server tal-kit ġewwa t-tarball tal-npm:

  • c2 — binarju Go ELF ikkumpilat ta' 4 megabytes
  • c2.go — is-sors Go ta' 426 linja għal dak il-binarju

L-ebda fajl ma jiġi invokat minn xi hook tal-installazzjoni. Mhumiex parti mill-payload tal-vittma. Jinsabu fid-direttorju tal-pakkett bl-istess mod kif jagħmel fajl ta' dokumentazzjoni. L-aktar qari plawżibbli huwa li l-operatur imbotta s-siġra tax-xogħol tal-iżvilupp tagħhom għal npm mingħajr ma kkura l-lista tal-fajls — żball reali tal-OpSec — u dak li ntbagħat huwa l-kit komplut b'żewġ naħat: il-klijent li tħaddem il-vittma, u s-server li jħaddem l-operatur.

Din hija l-parti tal-istorja li tiġġustifika l-qafas ta’ “turnkey botnet kit”. Kull min niżżel axois-utils:1.0.9 qabel it-takedown m'għandux biss kampjun tal-vittma — għandhom server C2 li jaħdem.

Il-pern, f'sentenza waħda

L-istess pubblikatur, l-istess ismijiet ta' pakketti, l-istess struttura bi tliet ganċijiet, l-istess branding "fantażma" — imma Il-payload biddel il-mudell ta' monetizzazzjoni matul il-lejlminn “sigrieti tal-ħsad li nista’ nerġa’ nbigħ” għal “kapaċità ta’ għargħar tal-kiri li nista’ nikri”. It-TTPs tal-ħin tal-installazzjoni li d-difensuri għandhom ikunu qed joqogħdu attenti għalihom huma kważi identiċi fiż-żewġ fażijiet; difiżi bbażati fuq il-firma marbuta mal-kordi tal-mogħdija tal-kartiera tal-Fażi A jew ma’ phantom.jsIl-kollettur ta' 7,667 linja kien ikun tilef il-Fażi B għalkollox.

Data (UTC) avveniment
2026-05-15 L-ewwel pubblikazzjoni: axois-utils:1.0.4 (Bini tat-test tal-LAN, rigg tal-iżvilupp fuq 192.168.129.19)
2026-05-15 axois-utils:1.0.6 ippubblikat — Il-Fażi A C2 inbidlet għal 80.200.28.28 permezz tal-mina Serveo; il-kumment tas-sors // Change to '80.200.28.28' for public jikkonferma l-iskambju dev→prod
2026-05-16 chalk-tempalte:1.0.14 u, 1.0.16 ippubblikat — loader ikkatinat jiddikjara axois-utils:^1.0.7 bħala dipendenza ta' runtime; is-sottodominju ta' Serveo ġie mdawwar
2026-05-16 Kampanja tal-Fażi A skoperta waqt skennjar ta' rutina tal-npm; ġew applikati verdetti kkonfermati-malizzjużi
2026-05-17 axois-utils:1.0.9 ippubblikat — payload pivot: PhantomBot DDoS jirrekluta permezz ta' localhost.run tunnel; min-naħa tal-operatur c2 binarju u c2.go sors mibgħut fit-tarball
2026-05-17 chalk-tempalte:1.0.19 u, 1.0.20 ippubblikat — għadu Fażi A (stealer); l-operatur issa qed iħaddem iż-żewġ moduli b'mod parallel
2026-05-17 Skoperta tal-Fażi B waqt skennjar ta' rutina; verdetti applikati fil-partijiet kollha 2026-05-17 Verżjonijiet
(Għadu għaddej) Rapporti ta' tneħħija pendenti; l-erba' pakketti ppubblikati kollha għadhom disponibbli fir-reġistru fil-ħin tal-kitba.

Indikaturi ta' Kompromess

Pakketti

Ekosistema Pakkett verżjonijiet
npm axois-utils (typosquat ta' axios) 1.0.4, 1.0.6, 1.0.9
npm chalk-tempalte (typosquat ta' chalk-template) 1.0.14, 1.0.16, 1.0.19, 1.0.20

Identità tal-awtur

Qasam valur
pubblikatur tal-npm deadcode09284814
Email tal-pubblikatur phantomdeadcode@tutamail.com
SCM verifika xejn

Kmand u kontroll

Fażi Endpoint trasport
A f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect Mina HTTPS ta' Serveo
A 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect Mina HTTPS ta' Serveo (verżjoni preċedenti)
A 80.200.28.28:443/collect Endpoint tal-VPS sottostanti
B b94b6bcfa27554.lhr.life:443/ localhost.run HTTPS reverse-tunnel

Diġestijiet tal-fajls (SHA-256)

File SHA-256 Noti
c2 (Mur ELF, 4 MB) 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 Server C2 min-naħa tal-operatur, mibgħut ġewwa axois-utils:1.0.9
c2.go (426 linji) 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 Mur fis-sors għall-binarju C2
distrube.js 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 Klijent tal-bot tal-Fażi B
phantom.js (chalk-tempalte:1.0.19) 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 Kollezzjonista tal-kredenzjali / kartiera tal-Fażi A
phantom.js (chalk-tempalte:1.0.20) d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 Kollettur tal-Fażi A (varjant 1.0.20)
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 Loader tal-Fażi A, identiku għall-byte fiż-żewġ verżjonijiet

Attribuzzjoni u Motivazzjoni

Aħna nsegwu din il-kampanja bħala PhantomBot, billi ħa l-marka tal-operatur stess mill- Aġent tal-Utent: PhantomBot/1.0 header tal-qalb, l- servizz tal-bot fantażma unità tas-sistema, l- com.phantom.bot It-tikketta LaunchAgent, u l- kodiċi mejjet fantażma@ indirizz elettroniku. L-operatur huwa konsistenti dwar dan l-isem f'mill-inqas erba' artefatti.

Katalgu tas-sinjali

  • Yayımcı,en - kodiċi mejjet09284814 fuq npm. Kont b'manku wieħed, email li tintrema wara l-użu ta' Tutamail, le SCM verifika. L-ebda storja ta' pubblikazzjoni preċedenti lil hinn minn din il-kampanja.
  • Użu mill-ġdid tal-marka — “phantom” jidher fl-email tal-pubblikatur, fl-isem tal-fajl tal-kollettur tal-Fażi A (phantom.js), fl-isem tas-servizz tal-persistenza tal-Fażi B (servizz tal-bot fantażma), fit-tikketta LaunchAgent (com.phantom.bot), u fil-bot User-Agent (PhantomBot/1.0).
  • Infrastruttura — VPS wieħed fuq 80.200.28.28 tiffaċċja l-Fażi A permezz tar-rotazzjoni tas-sottodominju Serveo; il-Fażi B timxi għal localhost.run mina inversa (b94b6bcfa27554.lhr.life). Iż-żewġ servizzi tal-bejjiegħ huma bla ħlas u jeħtieġu biss SSH 'il barra min-naħa tal-operatur, konsistenti ma' setups bi baġit baxx u OpSec baxx.
  • Stil tal-kodiċi — JavaScript sempliċi kollu kemm hu; l-ebda offuskazzjoni, l-ebda kodifikazzjoni ta' strings, l-ebda kontrolli anti-VM. L-ismijiet tal-varjabbli huma deskrittivi (stealSystemInfo, eżegwixxiKmand, httpFlood). Kummenti fi distrube.js jindirizzaw direttament operatur futur (“Uża l-URL HTTPS localhost.run tiegħek”), u jissuġġerixxu li l-fajl kien maħsub biex jiġi mqassam mill-ġdid bħala kit, mhux użat minn attakkant wieħed.
  • Slip tal-OpSec — It-tarball tal-Fażi B jinkludi kemm il-klijent tal-bot kif ukoll is-server C2 min-naħa tal-operatur (c2 ELF + c2.go sors). Dan huwa konsistenti ma' operatur li mbotta s-siġra tax-xogħol tiegħu għal npm mingħajr ma awditja l-lista tal-fajls. Jew l-operatur m'għandux esperjenza, jew il-kit huwa fisser li għandu jiġi distribwit pubblikament u l-binarju C2 huwa parti mill-prodott.
  • Awtokonferma - axois-utils:1.0.4 fih il-kumment tas-sors // Ibdel għal '80.200.28.28' għall-pubbliku fuq il-linja 12, li tikkonferma l-progressjoni tal-iżvilupp / staging / produzzjoni li l-operaturi tipikament jiċħdu.

Motivazzjoni

Il-payload tal-Fażi A huwa serq finanzjarju sempliċi: kredenzjali, cloud keys, tokens GitHub, u crypto wallets kollha għandhom swieq ta' bejgħ mill-ġdid likwidi. Il-Fażi B hija wkoll finanzjarja, iżda indiretta: servizzi DDoS-for-hire ("booter") jikru kapaċità ta' għargħar bil-minuta, u bots bħal dak mibgħut hawn huma l-inventarju li fuqu jaħdmu dawk is-servizzi. It-taħbit tal-qalb ta' 30 sekonda, il-ġeneriku mira/port/kemm iddum skema ta' kmand, u l-arsenal ta' għargħar b'ħames protokolli huma l- standard prodott ta' operatur ta' booter.

Tħaddim taż-żewġ moduli b'mod parallel — chalk-tempalte:1.0.19 u, 1.0.20 kompli tibgħat il-ħalliel waqt li axois-utils:1.0.9 jibgħat il-bot — jissuġġerixxi li l-operatur qed jiħedded il-flussi tad-dħul minflok ma jabbanduna l-Fażi A. Il-pern huwa Barra minn hekk, mhux sostitut.

Dak li m’aħniex qed nitolbu

Ma stajniex nikkonfermaw identità fid-dinja reali wara l- kodiċi mejjet09284814 handle, u ma nattribwixxux din il-kampanja lil xi attur ta' theddid, grupp, jew pajjiż imsemmi. Il-branding "fantażma" huwa konsistenti biżżejjed fl-artefatti kollha biex jissuġġerixxi operatur wieħed, iżda t-tbaħħir stil kit tal-binarju C2 iħalli miftuħa l-possibbiltà li pakketti futuri minn handles mhux relatati jerġgħu jużaw l-istess kodiċi.

impatt

Il-miri leġittimi tal-iskwad Axios u, mudell tal-ġibs huma dipendenti ħafna fuqhom fl-ekosistema ta' JavaScript; Axios waħdu jinsab fost it-tletin pakkett npm l-aktar imniżżla. L-ismijiet tat-typosquat huma buttuna waħda 'l bogħod minn dawk reali (axoisAxios, templatetemplate), u t-tnejn huma żbalji ortografiċi lingwistikament plawżibbli.

Ma stajniex niksbu statistika affidabbli dwar it-tniżżil għall-verżjonijiet malizzjużi qabel it-tneħħija — npm ma jżommx l-għadd tat-tniżżil għal kull verżjoni wara li pakkett ma jkunx ġie ppubblikat, u npms.ioIl-proxies tal-istil huma storbjużi f'din l-iskala. Kull organizzazzjoni li l-lockfile tagħha jirriżolvi ​​għal pakkett bl-isem axois-utils or template tal-ġibs mingħand il-pubblikatur kodiċi mejjet09284814 għandhom jiġu ttrattati bħala kompromessi: dawwar kull kredenzjali preżenti fi proċess.ambjent fuq il-host affettwat, awditja l-vetturi tal-persistenza għal kull OS (ara "X'għandhom jagħmlu d-difensuri" hawn taħt), u neħħi d-dipendenza.

Mudelli emerġenti

Din il-kampanja hija eżempju ta’ bidla li rajna f’diversi inċidenti reċenti tal-npm: L-armar tal-ganċ tal-installazzjoni huwa l-assi durabbli; il-payload jista' jinbidelL-istess pubblikatur, l-istess pakkett, l-istess preinstallazzjoni / jinstallaw / wara l-installazzjoni triplu, u anke l-istess kadenza tal-verżjoni-bump — l-unika ħaġa li nbidlet bejn axois-utils:1.0.6 u, axois-utils:1.0.9 kien il-fajl hooks tħaddim. Sejbien ibbażat fuq il-firma marbut mal-payload tal-Fażi A (strings tal-wallet-path, phantom.jsIl-kollettur ta' 7,667 linja, il-host Serveo C2) kien jimmarka l-ewwel tliet verżjonijiet u jitlef il-Fażi B għalkollox.

L-istess xejra hija viżibbli f'kampanji oħra tal-2026 li segwejna: operatur wieħed b'qafas stabbli, li jibdel bejn is-serq tal-kredenzjali, klijenti li jqarrqu bl-eżamijiet, it-tkeċċija minn Telegram-bot, u issa r-reklutaġġ tad-DDoS. Id-difensuri li jiddependu fuq il-firem tal-payload se jibqgħu jitilfu t-tieni rawnd ta' kull kampanja.

Il-korollarju huwa li It-TTPs fil-ħin tal-installazzjoni huma sinjal aħjarDikjarazzjonijiet tripli ta' install-hook, skripts ta' installazzjoni li jimportaw https or child_process, installa skripts li jiktbu fil-folders tal-istartjar tal-utent, u installa skripts li jirriżolvu l-ismijiet tal-hosts fuq servizzi b'xejn ta' reverse-tunnel (Serveo, localhost.run, ngrok, cloudflared) huma kollha rari f'pakketti leġittimi u komuni f'pakketti malizzjużi.

X'għandhom jagħmlu d-difensuri

  • Verifika tal-fajl tal-illokkjar. Fittex kull package-lock.json / ħajta.serratura / pnpm-lock.yaml fl-organizzazzjoni tiegħek għall-kordi eżatti axois-utils u, template tal-ġibsIttratta kwalunkwe partita bħala kompromess.
  • Dawwar is-sigrieti fuq l-ospiti affettwati. Kredenzjali SSH, cloud, GitHub, npm, u wallet miġbura bl-ingrossa fil-Fażi A. Assumi kull kredenzjali li qatt kienet preżenti fi proċess.ambjent, ~ / .ssh, ~/.aws, ~/.npmrc, ~ / .config, jew kwalunkwe .env* Il-fajl fuq il-host affettwat ikun espost.
  • Neħħi l-persistenza (Fażi B). Fuq il-Windows, ħassar HKCU\Software\Microsoft\Windows\Verżjoni Kurrenti\Run\Aġġornament tas-Sistem, neħħi %APPDATA%\Microsoft\Windows\Menu tal-Bidu\Programmi\Istartjar\aġġornament tas-sistema.bat, u schtasks /delete /tn Aġġornament tas-Sistema /fFuq Linux, crontab -e u neħħi @nodu tar-reboot …, systemctl –utent iddiżattiva –issa phantom-bot.service imbagħad ħassar ~/.config/systemd/user/phantom-bot.service, għorik .bashrc / .zshrc / /etc/rc.localFuq macOS, launchctl unload ~/Library/LaunchAgents/com.phantom.bot.plist imbagħad ħassar il-plist.
  • Imblokka l-ospiti C2. Żid l-erba' endpoints C2 fit-tabella tal-IOC mal-lista ta' blokki tal-ħruġ tiegħek. *.serveousercontent.com u, *.lhr.life jista' jiġi mblukkat bl-ingrossa jekk l-ambjent tiegħek m'għandux użu leġittimu għal servizzi ta' reverse-tunnel.
  • Kaċċa skont it-TTP tal-ħin tal-installazzjoni, mhux tagħbija utli. Entrati tal-fajl tal-illokkjar tal-inventarju li package.json iddikjarat preinstallazzjoni, jinstallaw, u wara l-installazzjoni kollha jippuntaw lejn l-istess skript. Iċċekkja mal-età tal-pakkett u l-istatus tal-verifika tal-pubblikatur. Dan il-mudell huwa rari f'pakketti leġittimi u huwa l-aktar sinjal affidabbli li PhantomBot jerġa' juża.
  • Awditjar għall-binarju C2. Kull min niżżel axois-utils:1.0.9 għandu s-server C2 tal-operatur (c2 ELF, sha256 165fa92d…) fuq id-diska. Skennja l-caches u l-ħażniet tal-artefatti tas-CI. Il-binarju huwa inattiv waħdu, iżda l-preżenza tiegħu fuq workstation hija evidenza ċara li l-pakkett ġie installat.

Linja tal-għeluq

L-istess operatur, l-istess pakkett, u l-istess hook ta' installazzjoni jistgħu jwasslu theddidiet kompletament differenti fi żmien 48 siegħa. Oqgħod attent għall-scaffolding, mhux għall-payload.

sca-tools-software-composition-analysis-tools
Prijoritizza, irranġa, u assigura r-riskji tas-softwer tiegħek
Ikseb il-Kont B'Xejn tiegħek.
Mhix meħtieġa karta ta 'kreditu.

Assigura l-Iżvilupp u l-Kunsinna tas-Softwer tiegħek

bis-Suite tal-Prodotti Xygeni