فینټم بوټ د اسنادو غلا څخه تر بوټنیټ پورې

فینټم بوټ: د ټایپوسکوټ کمپاین چې د اسنادو غلا څخه د ټرنکي بوټنیټ کټ ته یې مخه کړه

د تمديد؛ DR

یو واحد npm خپرونکی، deadcode09284814، د قانوني خلاف د ټایپوسکوټ کمپاین پرمخ وړی دی axios او chalk-template د ۲۰۲۶ کال د می له نیمایي راهیسې پیکجونه.

کمپاین د دودیز اسنادو او بټوې غلا کونکي په توګه پیل شو، چې معلومات یې یو ته لیږدول د سرویو HTTPS تونل.

On 2026-05-17، سره axois-utils:1.0.9، آپریټر په بشپړ ډول د پیلوډ بدل کړ: ورته درې ګونی انسټال-هوک سکیفولډ، ورته خپرونکی، ورته د بسته نوم.

خو د انسټال سکریپټ اوس د DDoS بوټنیټ استخدام یو کراس پلیټ فارم دی.

د بار بار له الف سره خبرې کوي localhost.run تونل جوړوي او د سیلاب امرونه مني، چې اخته چاپیریالونه د DDoS وړ بوټنیټ برخې ته اړوي.

آپریټر حتی لیږلی د C2 سرور بائنری د ټربال دننه، د اعتبار غلا څخه فعال بوټنیټ زیربنا ته د څرګند زیاتوالي ښودنه کوي.

دوه پیکجونه، څلور نسخې چې لاهم په راجسټری کې فعالې دي، او یو آپریټر اوس دواړه ماډلونه په موازي ډول چلوي.

شدت: لوړ.

د IOC سرلیک د خپرونکي deadcode09284814 څخه د axois-utils یا chalk-tempalte هر ډول نسخه

برید: دا څنګه کار کوي

دا کمپاین په قصدي ډول د تحویلي ستړي کونکي چوکاټ باندې جوړ شوی دی: د ټایپوسکوټ دوه بستې نومونه، د سلګونو ملیونونو اونیو ډاونلوډونو سره د بستې څخه یو توری لرې (محورونه, د چاک ټیمپلیټ)، او درې ځله نصب کول hooks چې د اجرا کولو تضمین کوي. هغه څه چې په زړه پورې دي هغه دا دي چې د تختې څراغ څه دی وړی - او دا حقیقت چې آپریټر کارګو بدل کړ پرته له دې چې بل څه بدل کړي.

شریک شوی چوکاټ

د دواړو پیکجونو هره خپره شوې نسخه ورته درې ژوند دوره اعلانوي hooks in package.json:

"scripts": {    "preinstall":  "node <payload>.js",    "install":     "node <payload>.js",    "postinstall": "node <payload>.js"  } 

د ټولو دریو لاندې د پایلوډ لیست کول hooks ډېر زیات دی - د نصبولو وروسته یوازې به په ډیفالټ کې چلیږي د npm لګولانتخاب مهم دی: npm نصب کړئ - سکریپټونه له پامه وغورځوئ سکرېپټونه پریږدي، مګر ډیری عام کاري جریان (CI کیش هغه بیا چلیدونکی ژوند دوره بحالوي) hooks په انتخابي ډول، یا پراختیا کونکي چې یوازې تفتیش کوي د نصبولو وروسته) د بریدګر لپاره تر ټولو خوندي شرط درې ګونی بې ځایه اعلان کول.

چاک-ټیمپالټ دوهم میکانیزم اضافه کوي: دا اعلان کوي د اکسوایس-کارونې:^۱.۰.۷ د چلولو وخت په توګه انحصار. د ټایپوسکواټډ نصب کول د چاک ټیمپلیټ له همدې امله د ورور ټایپوسکواټ هم راوباسي، او دواړه پیلوډونه چلیږي. دواړه پیکجونه یو همغږي جوړه ده، نه خپلواک لیستونه.

مرحله الف — اسناد / د بټوې غلا کوونکی (۲۰۲۶-۰۵-۱۵ → اوسنی)

مرحله A اصلي بار دی. بار وړونکی لنډ دی پوسټ انسټال.جي ایس چې د سرویو HTTPS ریورس تونل ته اشاره کوي:

// chalk-tempalte/postinstall.js:11-13  const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com";  const C2_PORT = 443;  const C2_PATH = '/collect'; 

د سرویو فرعي ډومین د منزل IP کوډ کوي (80.200.28.28) په مستقیم ډول په کوربه نوم کې - د دې خدمت لپاره یو پیژندل شوی کنوانسیون. آپریټر د بې بنسټه ډومین بلاک لیستونو څخه د تیښتې لپاره د نسخو ترمنځ تصادفي فرعي ډومین مختاړی ګرځوي، مګر اصلي IP هیڅکله حرکت نه کوي. (چاک-ټیمپلټ: 1.0.14 استعمال 8a3e818ea8f11186-80-200-28-28…؛ ۱.۰.۱۶ / ۱.۰.۱۹ / ۱.۰.۲۰ کارول f04a273bd84c0622-….)

پوسټ انسټال.جي ایس لاسونه لرې کړه فانتوم.جي ایس، د 7,667 لاینونو سره یوځای شوی "کلکټر" ماډل. فانتوم.جي ایس کوربه د دې لپاره ګرځي:

د SSH شخصي کیلي (~/.ssh/*)
.npmrc منځپانګې او هر ډول npm_* د env ټوکنونه
د AWS، GCP، او Azure اسنادو فایلونه
د ګیټ هب شخصي لاسرسي ټوکن ریجیکس (ghp_*, gho_*, ghu_*, ghs_*)
د بټ کواین، ایکوډس، الیکټرم، مونیرو، لایټ کوین، ډوګیکوین، زکاش، ډش لپاره د کریپټو والټ اثار
یو تکراریدونکی .env* تیریدل ~/projects, ~/dev, ~/code, ~/workspace، او د cwd نصب کول
د شیل تاریخونه او بشپړ process.env

بنډل د سرویو تونل ته په / راټولول. هیڅ ابهام نشته، د VM ضد منطق نشته، هیڅ سټیجینګ نشته — د آپریټر شرط په حجم او سرعت دی.

مرحله B — د فینټم بوټ DDoS استخدام (۲۰۲۶-۰۵-۱۷، axois-utils: ۱.۰.۹ یوازې)

مرحله B د phantom.js + postinstall.js ځای نیسي چې د distrube.js په نوم یو واحد فایل لري (ټایپ کول د آپریټر دي). په package.json کې درې ګونی هوک سکیفولډ بدل شوی نه دی؛ پیکج ورته نوم، سکوپ، او د نسخې-بمپ نمونه ساتي. له بهر څخه، axois-utils:1.0.9 د 1.0.6 لپاره د کوچني تعقیب په څیر ښکاري. دننه، دا د مالویر یوه مختلفه کورنۍ ده.

ډیسټروب.جي ایس د ترتیب بلاک سره خلاصیږي چې د آپریټر خپل برانډینګ نوموي:

// axois-utils-1.0.9/distrube.js:11-15
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally)
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel
const C2_PORT = 443; // HTTPS port - tunnel handles SSL
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`;

دا تبصرې راتلونکي آپریټر ته چې کټ چلوي خطاب کیږي ("خپل localhost.run HTTPS URL وکاروئ"). دا، او هغه څه چې د بوټ مراجع سره نږدې لیږدول کیږي، دا په ګوته کوي چې دا یوازې د قرباني تادیه نه ده - دا کټ دی.

جریان:

  1. دوام لومړی چلیږي. سکریپټ په هر OS کې په دریو مختلفو لارو نصب کیږي (راجسټری د دويم + د پیل فولډر + schtasks په وینډوز کې؛ کرونټاب + د فینټم-بوټ.خدمت سیستماتیک واحد + .bashrc/.zshrc ضمیمه + /etc/rc.local په لینکس کې؛ لانچ ایجنټ com.phantom.bot.plist په macOS کې). د دوامدارۍ خدماتو نوم او د لانچ ایجنټ لیبل دواړه دي فانتوم-بوټ / com.phantom.bot د، چې له همدې ځایه د کمپاین نوم هم راځي.
  2. د سیسټم معلوماتو اکسفیل یو ځل چلیږي — د یو ځل لپاره د ګوتو نښې POST چې b94b6bcfa27554.lhr.life:443/collect ته لیږدول کیږي چې کوربه نوم، پلیټ فارم، آرچ، کارن نوم، CPU/RAM، د شبکې انٹرفیسونه، process.env، cwd، homedir، نوډ نسخه، او عامه IP لري. دا د A مرحلې په پرتله خورا لږ تیریدونکی دی: نه SSH، نه والټونه، نه .env تکرار. د بوټ دنده ثبت کول دي، نه غلا کول.
  3. د زړه ضربان لوپ په هرو ۳۰ ثانیو کې یو HTTPS پوسټ b94b6bcfa27554.lhr.life:443/ ته پرانیزي. د کارونکي اجنټ PhantomBot/1.0 دی. د TLS تایید په ښکاره ډول غیر فعال دی (rejectUnauthorized: false). د C2 ځواب د {ډول، هدف، پورټ، موده، تارونو، میتود} فورمې JSON په توګه تحلیل شوی او لیږل شوی.
  4. د سیلابونو زېرمه شپږ امرونو سره وصل دی:
د قوماندې ډول ماډل یاداښتونه
پنگ د ژوند ځواب بوټ ځان پیژني
http د HTTP سیلاب د Layer-7 غوښتنې سیلاب
https د HTTPS سیلاب د http په څیر، TLS-wrapped
tcp د TCP سیلاب ۶۵ کیلوبایټ ناڅاپي-پیلوډ سپیم
udp د UDP سیلاب ۶۵،۵۰۷ بایټه UDP پاکټونه
چټک د HTTP/2 چټک بیا تنظیم DoS د ۲۰۲۳ CVE-۲۰۲۳-۴۴۴۸۷ تخنیک

ټول پنځه سیلاب ماډلونه یو اخلي هدف, بندر, موده، او سلسلې دلیل — دا روبوټ یو عمومي کرایه شوی سیلاب کوونکی دی، چې د کوم ځانګړي قرباني په هدف نه دی. د آپریټر د قربانیانو لیست په C2 کې ژوند کوي، نه په بسته کې.

دلته څه نوي دي — لیږل شوی C2 بائنری

مرحله A یو پیژندل شوی شکل دی: د اسنادو غلا، د نصب هک، د پلورونکي تونل شوی C2. مرحله B ده هم یو پیژندل شوی شکل — DDoS بوټنیټونه د کلونو راهیسې د ناوړه npm پیکجونو یوه برخه وه. هغه څه چې غیر معمولي دي دا دي چې آپریټر لیږلي دي د سرور اړخ د npm ټربال دننه د کټ څرنګوالی:

  • c2 — یو ۴ میګابایټ تالیف شوی Go ELF بائنری
  • c2.go د — د دې بائنری لپاره د 426 لاین ګو سرچینه

هیڅ فایل د کوم انسټالټ هک لخوا نه کارول کیږي. دوی د قرباني د پیلوډ برخه نه دي. دوی د بسته بندۍ په لارښود کې په ورته ډول ناست دي لکه څنګه چې د اسنادو فایل به وي. ترټولو د منلو وړ لوستل دا دي چې آپریټر خپل پراختیایی کاري ونې npm ته د فایل لیست تنظیم کولو پرته فشار ورکړی - یو ریښتینی OpSec سلیپ - او هغه څه چې لیږل شوي بشپړ دوه اړخیزه کټ دی: هغه مراجع چې قرباني یې چلوي، او هغه سرور چې آپریټر یې چلوي.

دا د کیسې هغه برخه ده چې د "ټرنکي بوټنیټ کټ" چوکاټ توجیه کوي. هر هغه څوک چې ډاونلوډ کړی وي د اکسوایس-کارونې: ۱.۰.۹ د لرې کولو دمخه نه یوازې د قرباني نمونه لري - دوی یو کار کوونکی C2 سرور لري.

محور، په یوه جمله کې

ورته خپرونکی، ورته د بستې نومونه، ورته درې ګونی هک سکیفولډ، ورته "خیالي" برانډینګ - مګر پېلوډ د شپې له خوا د پیسو ورکولو ماډل بدل کړ: د "د حاصلاتو رازونه چې زه یې بیا پلورلی شم" څخه تر "د سیلاب ظرفیت کرایه کول چې زه یې کرایه کولی شم" پورې. د نصب کولو وخت TTPs چې مدافعین یې باید وګوري په دواړو مرحلو کې نږدې ورته دي؛ د لاسلیک پر بنسټ دفاع د مرحلې A د والټ-پاټ تارونو یا فانتوم.جي ایسد ۷،۶۶۷ کرښې راټولونکی به د B پړاو په بشپړه توګه له لاسه ورکړی وای.

نیټه (UTC) دکمپاینونو
2026-05-15 لومړۍ خپرونه: axois-utils:1.0.4 (د LAN ازموینې جوړول، د پراختیا رګ په 192.168.129.19)
2026-05-15 axois-utils:1.0.6 خپور شوی — د A C2 مرحله بدله شوه 80.200.28.28 د سرویو تونل له لارې؛ د سرچینې تبصره // Change to '80.200.28.28' for public د پراختیا کونکي → تولید تبادله تاییدوي
2026-05-16 chalk-tempalte:1.0.14 او 1.0.16 خپور شوی — زنځیر شوی بار وړونکی اعلان axois-utils:^1.0.7 د رن ټایم انحصار په توګه؛ د سرویو فرعي ډومین بدل شوی
2026-05-16 د A پړاو کمپاین د معمول npm سکین کولو په جریان کې کشف شو؛ تایید شوي ناوړه پریکړې پلي شوې
2026-05-17 axois-utils:1.0.9 خپور شوی — د پایلوډ محور: د localhost.run تونل له لارې د PhantomBot DDoS استخدام؛ د آپریټر اړخ c2 بائنري او c2.go سرچینه په ټربال کې لیږدول شوې
2026-05-17 chalk-tempalte:1.0.19 او 1.0.20 خپور شوی — لاهم مرحله A (غلا کوونکی)؛ آپریټر اوس دواړه ماډلونه په موازي ډول چلوي
2026-05-17 د معمول سکین کولو په جریان کې د B پړاو کشف؛ پریکړې په ټولو کې پلي شوې 2026-05-17 نسخې
(روان) د لرې کولو راپورونه په تمه دي؛ ټول څلور خپاره شوي کڅوړې د لیکلو په وخت کې په راجستر کې شتون لري.

د جوړجاړي شاخصونه

پيکيجز

اکسيستم هګ بڼه
npm axois-utils (د محورونو نوع) 1.0.4, 1.0.6, 1.0.9
npm chalk-tempalte (د چاک ټیمپلیټ ډوله) 1.0.14, 1.0.16, 1.0.19, 1.0.20

د لیکوال هویت

ساحوي ارزښت
د npm خپرونکی deadcode09284814
د خپرونکي برېښنالیک phantomdeadcode@tutamail.com
SCM د تاييد هيڅ

کمانډ او کنټرول

مرحله پای ټکی د ترانسپورت
A f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect د سرویو HTTPS تونل
A 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect د سرویو HTTPS تونل (پخوانی نسخه)
A 80.200.28.28:443/collect د VPS بنسټیز پای ټکی
B b94b6bcfa27554.lhr.life:443/ localhost.run HTTPS ریورس تونل

د فایلونو هضمونه (SHA-256)

د دوتنې SHA-256 یاداښتونه
c2 (ګو ای ایل ایف، ۴ ایم بي) 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 د آپریټر اړخ C2 سرور، دننه لیږدول شوی axois-utils:1.0.9
c2.go (۴۲۶ کرښې) 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 د C2 بائنری لپاره سرچینه ومومئ
distrube.js 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 د B پړاو بوټ مراجع
phantom.js (chalk-tempalte:1.0.19) 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 د A پړاو اسناد / د بټوې راټولونکی
phantom.js (chalk-tempalte:1.0.20) d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 د الف پړاو راټولونکی (۱.۰.۲۰ ډول)
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 د A پړاو لوډر، په دواړو نسخو کې بایټ ورته دی

منسوب او هڅونه

موږ دا کمپاین په لاندې ډول تعقیبوو: PhantomBot، د آپریټر خپل برانډینګ له د کارونکي اجنټ: فینټم بوټ/۱.۰ د زړه ضربان سرلیک، د د فینټم-بوټ.خدمت سیستماتیک واحد، د com.phantom.bot د د لانچ ایجنټ لیبل، او فانتوم ډیډ کوډ@ د برېښنالیک لاسوند. آپریټر لږترلږه په څلورو هنري اثارو کې د دې نوم په اړه یو شان دی.

د سیګنالونو کتلاګ

  • خپرونکی - مړ کوډ ۰۹۲۸۴۸۱۴ په npm کې. د واحد لاس حساب، د ټوټامیل ضایع کیدونکی بریښنالیک، نه SCM تایید. د دې کمپاین هاخوا د خپرونې هیڅ پخوانی تاریخ نشته.
  • د برانډینګ بیا کارول — "فانتم" د خپرونکي په بریښنالیک کې، د فیز A راټولونکي فایل نوم کې ښکاري (فانتوم.جي ایس)، د B پړاو د دوام خدمت نوم کې (د فینټم-بوټ.خدمت)، د لانچ ایجنټ لیبل کې (com.phantom.bot د)، او په بوټ کې د کارونکي اجنټ (فینټم بوټ/۱.۰).
  • د زیربنا — په یو واحد VPS کې 80.200.28.28 د سرویو فرعي ډومین گردش له لارې د A مرحله مخونه؛ مرحله B a ته حرکت کوي سیمه ییز کوربه. چلول برعکس تونل (b94b6bcfa27554.lhr.life د ژوند په اړه). دواړه د پلورونکي خدمتونه وړیا دي او یوازې د آپریټر له خوا بهر ته SSH ته اړتیا لري، د ټیټ بودیجې، ټیټ OpSec ترتیباتو سره سم.
  • کوډ سټایل — په ټوله کې ساده جاواسکریپټ؛ هیڅ ابهام نشته، هیڅ تار کوډ نه دی، د VM ضد چکونه نشته. متغیر نومونه تشریحي دي (د سیسټم معلومات غلا کړئ, اجرا کومانډ, httpسیلاب). په کې تبصرې ډیسټروب.جي ایس په مستقیم ډول راتلونکي آپریټر ته خطاب وکړئ ("خپل localhost.run HTTPS URL وکاروئ")، دا وړاندیز کوي چې فایل د کټ په توګه بیا توزیع کولو لپاره و، نه د یو واحد برید کونکي لخوا کارول کیږي.
  • د OpSec سلپ — د B پړاو ټاربال دواړه د بوټ مراجع او د آپریټر اړخ C2 سرور لیږدوي (c2 ای ایل ایف + c2.go د سرچینه). دا د یو آپریټر سره مطابقت لري چې د فایل لیست د پلټنې پرته یې خپل کاري ونې npm ته اړولی. یا خو آپریټر بې تجربې دی، یا کټ دی معنا په عامه توګه وویشل شي او C2 بائنری د محصول برخه ده.
  • ځان تاییدول - د اکسوایس-کارونې: ۱.۰.۹ د سرچینې تبصره لري // د خلکو لپاره '80.200.28.28' ته بدل کړئ په ۱۲ کرښه کې، د پراختیا / سټیجینګ / تولید پرمختګ تاییدوي چې چلونکي یې معمولا ردوي.

انګیزه

د A پړاو تادیه مستقیم مالي غلا ده: اسناد، کلاوډ کیلي، ګیټ هب ټوکنونه، او کریپټو والټونه ټول د مایع بیا پلور بازارونه لري. مرحله B هم مالي ده، مګر غیر مستقیم: د DDoS-for-hire ("booter") خدمات دقیقې په واسطه د سیلاب ظرفیت کرایه کوي، او بوټونه لکه دلته لیږل شوي هغه انوینټري دي چې دا خدمات پرې چلیږي. د 30 ثانیو زړه ضربان، عمومي هدف/بندر/موده د قوماندې سکیما، او پنځه پروتوکول سیلاب ارسنال دي standard د بوټر آپریټر محصول.

دواړه ماډلونه په موازي ډول چلول — چاک-ټیمپلټ: 1.0.19 او 1.0.20 د غلا کوونکي لیږلو ته دوام ورکړئ پداسې حال کې چې د اکسوایس-کارونې: ۱.۰.۹ بوټ لیږدوي - وړاندیز کوي چې آپریټر د A پړاو پریښودو پرځای د عاید جریانونه ساتي. محور یو دی سربېره، نه بدیل.

هغه څه چې موږ یې ادعا نه کوو

موږ تر اوسه نه یو توانیدلي چې د دې تر شا د حقیقي نړۍ هویت تایید کړو مړ کوډ ۰۹۲۸۴۸۱۴ لاسوند، او موږ دا کمپاین کوم نومول شوي ګواښ لوبغاړي، ډلې، یا هیواد ته نه منسوبوو. د "فانتم" برانډینګ په ټولو هنري اثارو کې دومره مطابقت لري چې یو واحد آپریټر وړاندیز کړي، مګر د C2 بائنری کټ سټایل لیږد دا امکان خلاصوي چې د غیر اړونده لاسوندونو څخه راتلونکي کڅوړې به ورته کوډ بیا وکاروي.

د اغېزو د

د سکواټ مشروع هدفونه محورونه او د چاک ټیمپلیټ په جاواسکریپټ ایکوسیستم کې په پراخه کچه تکیه کیږي؛ محورونه یوازې د npm د ډیرو ډاونلوډ شویو دیرشو پیکجونو په ډله کې راځي. د ټایپوسکوټ نومونه د اصلي نومونو څخه یو کی سټروک لرې دي (اکسوامحورونه, ټیمپالټکېنډۍ)، او دواړه د ژبپوهنې له پلوه د منلو وړ غلط املاګانې دي.

موږ د لرې کولو دمخه د ناوړه نسخو لپاره د باور وړ ډاونلوډ احصایې ترلاسه کولو توان نه درلود - npm د هر نسخې ډاونلوډ شمیرې نه ساتي وروسته له دې چې یوه بسته خپره نشي، او npms.io په اړه- سټایل پراکسي په دې پیمانه شور لري. هر هغه سازمان چې لاک فایل یې د اکسوس-یوټیلز or چاک-ټیمپالټ د خپرونکي څخه مړ کوډ ۰۹۲۸۴۸۱۴ باید د جوړجاړي په توګه چلند وشي: هر موجود سند په کې وګرځوئ پروسه.این وی په اغیزمن شوي کوربه کې، د هر OS لپاره د دوام ویکتورونه وڅیړئ (لاندې "څه مدافعین باید وکړي" وګورئ)، او انحصار لرې کړئ.

راڅرګندېدونکي نمونې

دا کمپاین هغه بدلون ښیي چې موږ یې په څو وروستیو npm پیښو کې لیدلی دی: د نصب کولو هک سکیفولډ دوامداره شتمني ده؛ د بار بار د تبادلې وړ دی. هماغه خپرونکی، هماغه بسته، هماغه مخکې له مخکې نصب کول / لګول / د نصبولو وروسته درې ګونی، او حتی ورته نسخه-ټکر کډنس - یوازینی شی چې په منځ کې بدل شو د اکسوایس-کارونې: ۱.۰.۹ او د اکسوایس-کارونې: ۱.۰.۹ هغه فایل وو چې hooks چلول. د لاسلیک پر بنسټ کشف د A پړاو پیلوډ ته کیلي شوی (د والټ-لارې تارونه، فانتوم.جي ایسد (د ۷،۶۶۷ لاین راټولونکی، د سرویو C2 کوربه) به لومړیو دریو نسخو ته اشاره کړې وي او د B مرحله به یې په بشپړه توګه له لاسه ورکړې وي.

ورته نمونه د 2026 په نورو کمپاینونو کې لیدل کیږي چې موږ یې تعقیب کړي دي: یو واحد آپریټر چې یو مستحکم سکیفولډ لري، د اسنادو غلا، د ازموینې درغلۍ مراجعینو، د ټیلیګرام بوټ ایکسفیل، او اوس د DDoS ګمارنې ترمنځ تبادله. هغه مدافعین چې د پایلوډ لاسلیکونو باندې تکیه کوي به د هر کمپاین دوهم پړاو له لاسه ورکولو ته دوام ورکړي.

پایله دا ده چې د نصبولو وخت TTPs غوره سیګنال دی. درې ځله د نصبولو-هوک اعلامیې، هغه سکریپټونه نصب کړئ چې واردوي https or د ماشوم_پروسه، هغه سکریپټونه نصب کړئ چې د کارونکي-سټارټ اپ فولډرونو ته لیکي، او هغه سکریپټونه نصب کړئ چې په وړیا ریورس تونل خدماتو کې کوربه نومونه حل کوي (سریو، سیمه ییز کوربه. چلول، ngrok، cloudflared) ټول په قانوني کڅوړو کې نادر دي او په ناوړه کڅوړو کې عام دي.

مدافعین باید څه وکړي

  • د لاک فایل تفتیش. هر یو ولټوئ package-lock.json / د سوت قلف / pnpm-lock.yaml د ستاسو په سازمان کې د دقیقو تارونو لپاره اکسوس-یوټیلز او چاک-ټیمپالټهر ډول لوبه د جوړجاړي په توګه وګڼئ.
  • رازونه وګرځوئ په اغیزمنو کوربه توب باندې. د A پړاو په لویه کچه راټول شوي SSH، کلاوډ، ګیټ هب، npm، او والټ اسناد. هر هغه اسناد فرض کړئ چې په کې شتون لري پروسه.این وی, ~/.ssh, ~/.aws, ~/.npmrc, ~/.config، یا کوم یو .env* په اغیزمن شوي کوربه کې فایل ښکاره کیږي.
  • دوام لرې کړئ (پړاو B). په وینډوز کې، حذف کړئ HKCU\سافټویر\مایکروسافټ\وینډوز\کرنټ ورژن\چلول\سیسټم اپډیټلرې کړئ %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\system-update.bat، او schtasks /delete /tn د سیسټم تازه معلومات /fپه لینکس کې، crontab -e او لرې یې کړئ @reboot نوډ …, systemctl – کارن غیر فعال – اوس phantom-bot.service بیا یې حذف کړئ ~/.config/systemd/user/phantom-bot.service، سکرب .bashrc / .zshrc / /etc/rc.localپه macOS کې، لانچ سی ټي ایل انلوډ کړئ ~/کتابتون/لانچ اجنټان/com.phantom.bot.plist بیا پلیست ړنګ کړئ.
  • د C2 کوربه بلاک کړئ. د IOC جدول کې څلور C2 پای ټکي ستاسو د وتلو بلاک لیست ته اضافه کړئ. *.serveousercontent.com او *.lhr.life که ستاسو چاپیریال د ریورس تونل خدماتو لپاره قانوني ګټه ونلري، نو په پراخه کچه بند کیدی شي.
  • د نصبولو وخت TTP په واسطه لټون وکړئ، نه د بار وړلو. د انوینټري لاک فایل داخلې چې package.json اعلان مخکې له مخکې نصب کول, لګول، او د نصبولو وروسته ټول ورته سکریپټ ته اشاره کوي. د بسته بندۍ عمر او د خپرونکي د تایید حالت سره کراس چیک. دا نمونه په قانوني بسته بندۍ کې نادره ده او یوازینۍ خورا باوري سیګنال دی چې فینټم بوټ بیا کاروي.
  • د C2 بائنری لپاره تفتیش. هر هغه څوک چې ډاونلوډ کړی وي د اکسوایس-کارونې: ۱.۰.۹ د آپریټر C2 سرور لري (c2 ای ایل ایف، شا۲۵۶ ۱۶۵فا۹۲ډ…) په ډیسک کې. د کیچونو او CI هنري اثارو پلورنځیو سکین کول. بائنری پخپله غیر فعال دی، مګر په ورک سټیشن کې د هغې شتون غیر واضح ثبوت دی چې پیکج نصب شوی و.

د پای کرښه

ورته آپریټر، ورته بسته، او ورته نصب کونکی کولی شي په 48 ساعتونو کې په بشپړ ډول مختلف ګواښونه ورسوي. سکیفولډ وګورئ، نه د بار وړلو.

د سکا-وسایل-سافټویر-ترکیب-تحلیل-وسایل
د خپل سافټویر خطرونو ته لومړیتوب ورکړئ، اصلاح یې کړئ او خوندي یې کړئ
خپل وړیا حساب ترلاسه کړئ.
هیڅ کریډیټ کارت ته اړتیا نشته.

د خپل سافټویر پراختیا او تحویلي خوندي کړئ

د زیګیني محصول سویټ سره