TL; DR
ఒకే npm పబ్లిషర్, deadcode09284814చట్టబద్ధమైన వాటికి వ్యతిరేకంగా టైపోస్క్వాట్ ప్రచారాన్ని నడిపింది axios మరియు chalk-template మే 2026 మధ్య నుండి ప్యాకేజీలు.
ఈ ప్రచారం మొదట ఒక సాధారణ క్రెడెన్షియల్ మరియు వాలెట్ దొంగగా ప్రారంభమై, డేటాను ఒక నిర్దిష్ట ప్రదేశానికి తరలిస్తూ సాగింది. సర్వియో హెచ్టిటిపిఎస్ టన్నెల్.
On 2026-05-17తో axois-utils:1.0.9ఆపరేటర్ పేలోడ్ను పూర్తిగా మార్చాడు: అవే ట్రిపుల్ ఇన్స్టాల్-హుక్ స్కాఫోల్డ్, అవే పబ్లిషర్, అవే ప్యాకేజీ పేరు.
కానీ ఆ ఇన్స్టాల్ స్క్రిప్ట్ ఇప్పుడు క్రాస్-ప్లాట్ఫామ్ DDoS బాట్నెట్గా మారింది.
పేలోడ్ ఒక దానితో మాట్లాడుతుంది localhost.run టన్నెల్ చేసి ఫ్లడ్ కమాండ్లను స్వీకరించి, సోకిన పరిసరాలను DDoS-సామర్థ్యం గల బాట్నెట్లో భాగంగా మారుస్తుంది.
ఆపరేటర్ కూడా రవాణా చేసాడు C2 సర్వర్ బైనరీ టార్బాల్ లోపల, క్రెడెన్షియల్ దొంగతనం నుండి క్రియాశీల బాట్నెట్ మౌలిక సదుపాయాల వరకు స్పష్టమైన పెరుగుదల కనిపిస్తోంది.
రిజిస్ట్రీలో ఇప్పటికీ క్రియాశీలంగా ఉన్న రెండు ప్యాకేజీలు, నాలుగు వెర్షన్లు మరియు ఒక ఆపరేటర్ ఇప్పుడు రెండు మాడ్యూళ్లను సమాంతరంగా నడుపుతున్నారు.
తీవ్రత: అధికం.
దాడి: అది ఎలా పనిచేస్తుంది
ఈ ప్రచారం ఉద్దేశపూర్వకంగానే విసుగు పుట్టించే ప్రదర్శన పద్ధతిపై నిర్మించబడింది: వారానికి వందల మిలియన్ల డౌన్లోడ్లు ఉన్న ప్యాకేజీల పేర్ల కంటే ఒక్క అక్షరం తేడాతో ఉండే రెండు చిన్న చిన్న ప్యాకేజీ పేర్లు (axios, సుద్ద-టెంప్లేట్), మరియు ట్రిపుల్ ఇన్స్టాల్ hooks అది అమలుకు హామీ ఇస్తుంది. ఆసక్తికరమైన విషయం ఏమిటంటే ఆ స్కాఫోల్డ్. చేరవేస్తుంది మరియు ఆపరేటర్ మరేమీ మార్చకుండా సరుకును మాత్రమే మార్చాడనే వాస్తవం.
భాగస్వామ్య స్కాఫోల్డ్
రెండు ప్యాకేజీల యొక్క ప్రచురితమైన ప్రతి వెర్షన్ ఒకే మూడు లైఫ్సైకిల్లను ప్రకటిస్తుంది hooks in ప్యాకేజీ.జాసన్:
"scripts": { "preinstall": "node <payload>.js", "install": "node <payload>.js", "postinstall": "node <payload>.js" } మూడు కింద పేలోడ్ను జాబితా చేయడం hooks ఇది అనవసరం — పోస్ట్ ఇన్స్టాల్ ఒంటరిగా డిఫాల్ట్లో నడుస్తుంది npm సంస్థాపనఎంపిక ముఖ్యం: npm install –ignore-scripts స్క్రిప్ట్లను దాటవేస్తుంది, కానీ అనేక సాధారణ వర్క్ఫ్లోలు (CI కాష్ పునరుద్ధరణలు ఆ లైఫ్సైకిల్ను మళ్లీ అమలు చేస్తాయి) hooks ఎంపికగా, లేదా ఆడిట్ చేసే డెవలపర్లు మాత్రమే పోస్ట్ ఇన్స్టాల్ట్రిపుల్-రిడండెంట్ డిక్లరేషన్ను దాడి చేసేవారికి అత్యంత సురక్షితమైన మార్గంగా చేస్తుంది.
సుద్ద దేవాలయం రెండవ యంత్రాంగాన్ని జతచేస్తుంది: అది ప్రకటిస్తుంది axois-utils:^1.0.7 రన్టైమ్గా డిపెండెన్సీటైపోస్క్వాటెడ్ను ఇన్స్టాల్ చేయడం సుద్ద-టెంప్లేట్ అందువల్ల ఇది సోదర టైపోస్క్వాట్ను కూడా లాగుతుంది, మరియు రెండు పేలోడ్లు నడుస్తాయి. ఈ రెండు ప్యాకేజీలు ఒక సమన్వయ జంట, స్వతంత్ర జాబితాలు కావు.
దశ A — క్రెడెన్షియల్ / వాలెట్ స్టీలర్ (2026-05-15 → ప్రస్తుతం)
ఫేజ్ A అనేది అసలైన పేలోడ్. లోడర్ అనేది చిన్నది. పోస్ట్ఇన్స్టాల్.js అది సర్వియో HTTPS రివర్స్-టన్నెల్ను సూచిస్తుంది:
// chalk-tempalte/postinstall.js:11-13 const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com"; const C2_PORT = 443; const C2_PATH = '/collect'; సర్వియో సబ్డొమైన్ గమ్యస్థాన IPని ఎన్కోడ్ చేస్తుంది (80.200.28.28హోస్ట్ పేరులో నేరుగా చేర్చడం — ఇది ఆ సేవకు సుపరిచితమైన సంప్రదాయం. సాధారణ డొమైన్ బ్లాక్లిస్ట్లను తప్పించుకోవడానికి ఆపరేటర్ వెర్షన్ల మధ్య యాదృచ్ఛిక సబ్డొమైన్ ప్రిఫిక్స్ను మారుస్తూ ఉంటాడు, కానీ దాని కింద ఉన్న IP ఎప్పటికీ మారదు.చాక్-టెంప్లేట్:1.0.14 ఉపయోగించబడిన 8a3e818ea8f11186-80-200-28-28…; 1.0.16 / 1.0.19 / 1.0.20 ఉపయోగించండి f04a273bd84c0622-….)
పోస్ట్ఇన్స్టాల్.js చేతులు దించండి ఫాంటమ్.js7,667 లైన్ల బండిల్డ్ “కలెక్టర్” మాడ్యూల్. ఫాంటమ్.js హోస్ట్ దీనికోసం నడుస్తుంది:
SSH ప్రైవేట్ కీలు (~/.ssh/*) |
.npmrc విషయాలు మరియు ఏదైనా npm_* env టోకెన్లు |
| AWS, GCP మరియు Azure ఆధారాల ఫైల్లు |
గిట్హబ్ వ్యక్తిగత-యాక్సెస్-టోకెన్ రెగెక్స్ (ghp_*, gho_*, ghu_*, ghs_*) |
| బిట్కాయిన్, ఎక్సోడస్, ఎలెక్ట్రమ్, మొనెరో, లైట్కాయిన్, డాగ్కాయిన్, జెడ్క్యాష్, డాష్ కోసం క్రిప్టో-వాలెట్ ఆర్టిఫ్యాక్ట్లు |
పునరావృత .env* నడక మార్గం ~/projects, ~/dev, ~/code, ~/workspaceమరియు ఇన్స్టాల్ సిడబ్ల్యుడి |
షెల్ చరిత్రలు మరియు పూర్తి process.env |
బండిల్ సర్వియో టన్నెల్కు POST చేయబడింది /సేకరించు. ఇక్కడ ఎలాంటి అస్పష్టత, యాంటీ-VM లాజిక్, స్టేజింగ్ ఉండవు — ఆపరేటర్ యొక్క ప్రధాన లక్ష్యం వాల్యూమ్ మరియు వేగం.
దశ B — ఫాంటమ్బాట్ DDoS రిక్రూట్ (2026-05-17, axois-utils:1.0.9 మాత్రమే)
ఫేజ్ B, phantom.js + postinstall.js ఫైళ్ళను distrube.js అనే ఒకే ఫైల్తో భర్తీ చేస్తుంది (అక్షర దోషం ఆపరేటర్ది). package.json లోని ట్రిపుల్-హుక్ స్కాఫోల్డ్ మారదు; ప్యాకేజీ అదే పేరు, స్కోప్ మరియు వెర్షన్-బంప్ ప్యాటర్న్ను కలిగి ఉంటుంది. బయటి నుండి చూస్తే, axois-utils:1.0.9 అనేది 1.0.6కి ఒక చిన్న కొనసాగింపులా కనిపిస్తుంది. కానీ లోపల, ఇది ఒక విభిన్న మాల్వేర్ కుటుంబానికి చెందినది.
distrube.js ఆపరేటర్ యొక్క సొంత బ్రాండింగ్ను పేర్కొనే కాన్ఫిగరేషన్ బ్లాక్తో ఇది ప్రారంభమవుతుంది:
// axois-utils-1.0.9/distrube.js:11-15 |
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally) |
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel |
const C2_PORT = 443; // HTTPS port - tunnel handles SSL |
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`; |
ఆ వ్యాఖ్యలు కిట్ను నడిపే భవిష్యత్ ఆపరేటర్ను ఉద్దేశించి చేసినవి (“మీ localhost.run HTTPS URLను ఉపయోగించండి”). అది, మరియు బాట్ క్లయింట్తో పాటు పంపబడేది, ఇది కేవలం బాధితుడి కోసం పంపిన పేలోడ్ మాత్రమే కాదని, ఇదే అసలైన కిట్ అని స్పష్టం చేస్తుంది.
ప్రవాహం:
- పట్టుదల మొదట రన్ అవుతుంది. ఈ స్క్రిప్ట్ ఒక్కో OS కి మూడు వేర్వేరు మార్గాల్లో (రిజిస్ట్రీ) ఇన్స్టాల్ అవుతుంది. రన్ + స్టార్టప్ ఫోల్డర్ + పనులు విండోస్లో; క్రోన్టాబ్ + ఫాంటమ్-బాట్.సర్వీస్ సిస్టమ్డి యూనిట్ + .bashrc/.zshrc జోడించు + /etc/rc.local Linuxలో; లాంచ్ ఏజెంట్ com.phantom.bot.plist macOSలో). పర్సిస్టెన్స్ సర్వీస్ పేరు మరియు లాంచ్ ఏజెంట్ లేబుల్ రెండూ ఫాంటమ్-బాట్ / com.phantom.botప్రచారానికి పేరు కూడా అక్కడి నుంచే వచ్చింది.
- సిస్టమ్ సమాచారం బహిర్గతం ఇది ఒక్కసారి మాత్రమే నడుస్తుంది — హోస్ట్నేమ్, ప్లాట్ఫారమ్, ఆర్కిటెక్చర్, యూజర్నేమ్, CPU/RAM, నెట్వర్క్ ఇంటర్ఫేస్లు, process.env, cwd, homedir, నోడ్ వెర్షన్, మరియు పబ్లిక్ IPలను కలిగి ఉండే ఒక వన్-షాట్ ఫింగర్ప్రింట్ POST మెయిల్ b94b6bcfa27554.lhr.life:443/collectకు పంపబడుతుంది. ఇది ఫేజ్ A కంటే చాలా తక్కువ తీవ్రమైనది: ఇందులో SSH, వాలెట్లు, లేదా .env రికర్షన్ ఉండవు. ఈ బాట్ యొక్క పని నమోదు చేసుకోవడం, దొంగిలించడం కాదు.
- హృదయ స్పందన లూప్ ప్రతి 30 సెకన్లకు b94b6bcfa27554.lhr.life:443/ కు ఒక HTTPS POST ను తెరుస్తుంది. యూజర్-ఏజెంట్ ఫాంటమ్బాట్/1.0. TLS ధృవీకరణ స్పష్టంగా నిలిపివేయబడింది (rejectUnauthorized: false). C2 ప్రతిస్పందన {type, target, port, duration, threads, method} రూపంలో JSON గా పార్స్ చేయబడి, పంపబడుతుంది.
- వరద ఆయుధాగారం ఆరు ఆదేశాలకు అనుసంధానించబడింది:
| కమాండ్ రకం | మాడ్యూల్ | గమనికలు |
|---|---|---|
| పింగ్ | లైవ్నెస్ రిప్లై | బాట్ తనను తాను గుర్తించుకుంటుంది |
| http | HTTP వరద | లేయర్-7 అభ్యర్థనల వెల్లువ |
| https | HTTPS వరద | http మాదిరిగానే, TLS-ర్యాప్ చేయబడింది |
| tcp | TCP వరద | 65 KB యాదృచ్ఛిక-పేలోడ్ స్పామ్ |
| UDP | యూడీపీ వరద | 65,507-బైట్ UDP ప్యాకెట్లు |
| వేగవంతమైన | HTTP/2 రాపిడ్-రీసెట్ DoS | 2023 CVE-2023-44487 టెక్నిక్ |
ఐదు వరద మాడ్యూల్స్ అన్నీ తీసుకుంటాయి లక్ష్యం, పోర్ట్, వ్యవధిమరియు థ్రెడ్లు వాదన — ఈ బాట్ అనేది అద్దెకు తీసుకునే ఒక సాధారణ ఫ్లడ్డర్, ఇది ఏ నిర్దిష్ట బాధితుడినీ లక్ష్యంగా చేసుకోదు. ఆపరేటర్ యొక్క బాధితుల జాబితా ప్యాకేజీలో కాకుండా C2లో ఉంటుంది.
ఇక్కడ కొత్తగా ఏముంది — రవాణా చేయబడిన C2 బైనరీ
ఫేజ్ A ఒక సుపరిచితమైన ఆకారం: క్రెడెన్షియల్ దొంగతనం, ఇన్స్టాల్ హుక్, వెండర్-టన్నెల్డ్ C2. ఫేజ్ B కూడా సుపరిచితమైన ఆకారం — DDoS బాట్నెట్లు చాలా సంవత్సరాలుగా హానికరమైన npm ప్యాకేజీలలో ఒక భాగంగా ఉన్నాయి. అసాధారణమైన విషయం ఏమిటంటే, ఆపరేటర్ దానిని పంపించాడు. సర్వర్ వైపు npm టార్బాల్లోని కిట్ యొక్క:
- c2 — 4-మెగాబైట్ల సంకలనం చేయబడిన గో ELF బైనరీ
- సి2.గో — ఆ బైనరీకి సంబంధించిన 426-లైన్ల గో సోర్స్
ఈ రెండు ఫైళ్ళలో ఏదీ ఏ ఇన్స్టాల్ హుక్ ద్వారా పిలవబడలేదు. అవి విక్టిమ్ పేలోడ్లో భాగం కాదు. అవి ఒక డాక్యుమెంటేషన్ ఫైల్ ఉండే విధంగానే ప్యాకేజీ డైరెక్టరీలో ఉన్నాయి. దీనిని బట్టి అత్యంత సహేతుకంగా అనిపించేది ఏమిటంటే, ఆపరేటర్ ఫైల్ జాబితాను సరిచూడకుండానే వారి డెవలప్మెంట్ వర్కింగ్ ట్రీని npm లోకి పంపారు — ఇది ఒక నిజమైన OpSec తప్పిదం — మరియు పంపబడినది పూర్తి టూ-సైడెడ్ కిట్: విక్టిమ్ నడిపే క్లయింట్, మరియు ఆపరేటర్ నడిపే సర్వర్.
కథలో ఈ భాగమే “టర్న్కీ బాట్నెట్ కిట్” అనే పేరును సమర్థిస్తుంది. డౌన్లోడ్ చేసుకున్న ఎవరైనా axois-utils:1.0.9 టేక్డౌన్కు ముందు వారి వద్ద బాధితుల నమూనా మాత్రమే కాకుండా, పనిచేస్తున్న C2 సర్వర్ కూడా ఉంది.
కీలకమైన అంశం, ఒక్క వాక్యంలో
అదే ప్రచురణకర్త, అవే ప్యాకేజీ పేర్లు, అదే మూడు కొక్కేల నిర్మాణం, అదే “ఫాంటమ్” బ్రాండింగ్ — కానీ పేలోడ్ రాత్రికి రాత్రే మానిటైజేషన్ మోడల్ను మార్చేసింది: “నేను తిరిగి అమ్మగల రహస్యాలను సేకరించడం” నుండి “నేను లీజుకు ఇవ్వగల వరద సామర్థ్యాన్ని అద్దెకు తీసుకోవడం” వరకు. రక్షకులు గమనించవలసిన ఇన్స్టాల్-టైమ్ TTPలు రెండు దశలలోనూ దాదాపు ఒకేలా ఉంటాయి; ఫేజ్ A యొక్క వాలెట్-పాత్ స్ట్రింగ్లకు లేదా అనుసంధానించబడిన సిగ్నేచర్-ఆధారిత రక్షణలు ఫాంటమ్.jsదాని 7,667-లైన్ల కలెక్టర్ ఫేజ్ బిని పూర్తిగా కోల్పోయి ఉండేది.
| తేదీ (UTC) | ఈవెంట్ |
|---|---|
| 2026-05-15 | మొదటి ప్రచురణ: axois-utils:1.0.4 (LAN టెస్ట్ బిల్డ్, డెవ్ రిగ్ వద్ద) 192.168.129.19) |
| 2026-05-15 | axois-utils:1.0.6 ప్రచురించబడింది — ఫేజ్ A C2 మార్చబడింది 80.200.28.28 సర్వియో టన్నెల్ ద్వారా; మూల వ్యాఖ్య // Change to '80.200.28.28' for public dev→prod మార్పిడిని ధృవీకరిస్తుంది |
| 2026-05-16 | chalk-tempalte:1.0.14 మరియు 1.0.16 ప్రచురించబడింది — చైన్డ్ లోడర్ ప్రకటిస్తోంది axois-utils:^1.0.7 రన్టైమ్ డిపెండెన్సీగా; సర్వియో సబ్డొమైన్ రొటేట్ చేయబడింది |
| 2026-05-16 | సాధారణ npm స్కానింగ్ సమయంలో ఫేజ్ A క్యాంపెయిన్ కనుగొనబడింది; హానికరమైనదిగా నిర్ధారించబడింది అనే తీర్పులు వర్తింపజేయబడ్డాయి. |
| 2026-05-17 | axois-utils:1.0.9 ప్రచురించబడింది — పేలోడ్ పివట్: localhost.run టన్నెల్ ద్వారా ఫాంటమ్బాట్ DDoS రిక్రూట్; ఆపరేటర్ వైపు c2 బైనరీ మరియు c2.go టార్బాల్లో పంపబడిన మూలం |
| 2026-05-17 | chalk-tempalte:1.0.19 మరియు 1.0.20 ప్రచురించబడింది — ఇప్పటికీ ఫేజ్ A (స్టీలర్); ఆపరేటర్ ఇప్పుడు రెండు మాడ్యూళ్లను సమాంతరంగా నడుపుతున్నాడు |
| 2026-05-17 | సాధారణ స్కానింగ్ సమయంలో ఫేజ్ బిని కనుగొనడం; తీర్పులు అన్నింటికీ వర్తింపజేయబడ్డాయి 2026-05-17 సంస్కరణలు |
| (కొనసాగుతోంది) | తొలగింపు నివేదికలు పెండింగ్లో ఉన్నాయి; ఈ రచన సమయానికి ప్రచురించబడిన నాలుగు ప్యాకేజీలూ రిజిస్ట్రీలో అందుబాటులో ఉన్నాయి. |
రాజీ సూచికలు
ప్యాకేజీలు
| పర్యావరణ వ్యవస్థ | ప్యాకేజీ | సంస్కరణలు |
|---|---|---|
| npm | axois-utils (axios యొక్క టైపోస్క్వాట్) | 1.0.4, 1.0.6, 1.0.9 |
| npm | chalk-tempalte (చాక్ టెంప్లేట్ యొక్క టైపోస్క్వాట్) | 1.0.14, 1.0.16, 1.0.19, 1.0.20 |
రచయిత గుర్తింపు
| ఫీల్డ్ | విలువ |
|---|---|
| npm ప్రచురణకర్త | deadcode09284814 |
| ప్రచురణకర్త ఇమెయిల్ | phantomdeadcode@tutamail.com |
| SCM ధృవీకరణ | ఎవరూ |
కమాండ్ అండ్ కంట్రోల్
| దశ | endpoint | రవాణా |
|---|---|---|
| A | f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect | సర్వియో హెచ్టిటిపిఎస్ టన్నెల్ |
| A | 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect | సర్వియో HTTPS టన్నెల్ (పాత వెర్షన్) |
| A | 80.200.28.28:443/collect | అంతర్లీన VPS ఎండ్పాయింట్ |
| B | b94b6bcfa27554.lhr.life:443/ | localhost.run HTTPS రివర్స్-టన్నెల్ |
ఫైల్ డైజెస్ట్లు (SHA-256)
| ఫైలు | SHA-256 | గమనికలు |
|---|---|---|
c2 (గో ఈఎల్ఎఫ్, 4 ఎంబి) | 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 | ఆపరేటర్-సైడ్ C2 సర్వర్, లోపల పంపబడింది axois-utils:1.0.9 |
c2.go (426 పంక్తులు) | 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 | C2 బైనరీ కోసం గో సోర్స్ |
distrube.js | 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 | ఫేజ్ బి బాట్ క్లయింట్ |
phantom.js (chalk-tempalte:1.0.19) | 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 | ఫేజ్ A క్రెడెన్షియల్ / వాలెట్ కలెక్టర్ |
phantom.js (chalk-tempalte:1.0.20) | d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 | ఫేజ్ A కలెక్టర్ (1.0.20 వేరియంట్) |
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) | ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 | ఫేజ్ A లోడర్, రెండు వెర్షన్లలోనూ బైట్ పరంగా ఒకేలా ఉంటుంది |
ఆపాదించడం & ప్రేరణ
మేము ఈ ప్రచారాన్ని ట్రాక్ చేస్తాము ఫాంటమ్బాట్ఆపరేటర్ యొక్క సొంత బ్రాండింగ్ను తీసుకోవడం యూజర్-ఏజెంట్: ఫాంటమ్బాట్/1.0 హృదయ స్పందన శీర్షిక, ఫాంటమ్-బాట్.సర్వీస్ సిస్టమ్డి యూనిట్, com.phantom.bot లాంచ్ ఏజెంట్ లేబుల్, మరియు phantomdeadcode@ ఇమెయిల్ హ్యాండిల్. ఆపరేటర్ కనీసం నాలుగు ఆర్టిఫ్యాక్ట్లలో ఈ పేరు విషయంలో స్థిరంగా ఉన్నారు.
సిగ్నల్స్ కేటలాగ్
- <span style="font-family: Mandali; "> ప్రచురణ కర్త </span> - డెడ్కోడ్09284814 npmలో. సింగిల్-హ్యాండిల్ ఖాతా, టుటామెయిల్ డిస్పోజబుల్ ఇమెయిల్, లేదు SCM ధృవీకరణ. ఈ ప్రచారం తర్వాత మునుపటి ప్రచురణ చరిత్ర లేదు.
- బ్రాండింగ్ పునరుపయోగం — “ఫాంటమ్” ప్రచురణకర్త ఇమెయిల్లో, ఫేజ్ A కలెక్టర్ ఫైల్పేరులో కనిపిస్తుంది (ఫాంటమ్.js), ఫేజ్ బి పర్సిస్టెన్స్ సర్వీస్ పేరులో (ఫాంటమ్-బాట్.సర్వీస్), లాంచ్ ఏజెంట్ లేబుల్లో (com.phantom.bot), మరియు బాట్ యూజర్-ఏజెంట్లో (ఫాంటమ్బాట్/1.0).
- ఇన్ఫ్రాస్ట్రక్చర్ ఒకే ఒక్క VPS వద్ద 80.200.28.28 సెర్వియో సబ్డొమైన్ భ్రమణం ద్వారా ఫేజ్ A ముందుకి వెళుతుంది; ఫేజ్ B ఒకదానికి కదులుతుంది localhost.run రివర్స్-టన్నెల్ (b94b6bcfa27554.lhr.lifeతక్కువ బడ్జెట్, తక్కువ ఆపరేషనల్ సెక్యూరిటీ (OpSec) సెటప్లకు అనుగుణంగా, రెండు వెండర్ సేవలు ఉచితం మరియు ఆపరేటర్ వైపు నుండి కేవలం అవుట్బౌండ్ SSH మాత్రమే అవసరం.
- కోడ్ శైలి — అంతటా సాధారణ జావాస్క్రిప్ట్; అస్పష్టత లేదు, స్ట్రింగ్ ఎన్కోడింగ్ లేదు, యాంటీ-VM తనిఖీలు లేవు. వేరియబుల్ పేర్లు వివరణాత్మకంగా ఉంటాయి (సిస్టమ్ సమాచారాన్ని దొంగిలించండి, executeCommand, httpFloodవ్యాఖ్యలు distrube.js భవిష్యత్ ఆపరేటర్ను నేరుగా ఉద్దేశించి (“మీ localhost.run HTTPS URLని ఉపయోగించండి”), ఈ ఫైల్ ఒకే దాడి చేసే వ్యక్తి ఉపయోగించడం కోసం కాకుండా, ఒక కిట్గా పునఃపంపిణీ చేయడానికి ఉద్దేశించబడిందని ఇది సూచిస్తుంది.
- ఆపరేషనల్ సెక్యూరిటీ లోపం — ఫేజ్ బి టార్బాల్ బాట్ క్లయింట్ మరియు ఆపరేటర్-సైడ్ సి2 సర్వర్ రెండింటినీ పంపుతుంది (c2 ELF + సి2.గో మూలం). ఫైల్ జాబితాను ఆడిట్ చేయకుండా తమ వర్కింగ్ ట్రీని npm కు పుష్ చేసిన ఆపరేటర్కు ఇది అనుగుణంగా ఉంది. ఆపరేటర్కు అనుభవం లేకపోవచ్చు, లేదా కిట్ సరిగ్గా లేకపోవచ్చు. అర్థం బహిరంగంగా పంపిణీ చేయబడుతుంది మరియు C2 బైనరీ ఉత్పత్తిలో భాగం.
- స్వీయ-ధృవీకరణ - axois-utils:1.0.4 మూల వ్యాఖ్యను కలిగి ఉంది ప్రజల కోసం '80.200.28.28' గా మార్చండి లైన్ 12లో, ఆపరేటర్లు సాధారణంగా తిరస్కరించే dev / staging / production పురోగతిని ధృవీకరిస్తోంది.
ప్రేరణ
ఫేజ్ A పేలోడ్ అనేది స్పష్టమైన ఆర్థిక దొంగతనం: క్రెడెన్షియల్స్, క్లౌడ్ కీలు, గిట్హబ్ టోకెన్లు మరియు క్రిప్టో వాలెట్లన్నింటికీ లిక్విడ్ రీసేల్ మార్కెట్లు ఉన్నాయి. ఫేజ్ B కూడా ఆర్థికపరమైనదే, కానీ పరోక్షమైనది: అద్దెకు తీసుకునే DDoS (“బూటర్”) సేవలు నిమిషానికి ఫ్లడ్ కెపాసిటీని అద్దెకు తీసుకుంటాయి, మరియు ఇక్కడ పంపబడినటువంటి బాట్లే ఆ సేవలు పనిచేసే ఇన్వెంటరీ. 30-సెకన్ల హార్ట్బీట్, సాధారణ లక్ష్యం/పోర్ట్/వ్యవధి కమాండ్ స్కీమా మరియు ఐదు ప్రోటోకాల్ల వరద ఆయుధాగారం అనేవి standard బూటర్ ఆపరేటర్ యొక్క ఉత్పత్తి.
రెండు మాడ్యూళ్లను సమాంతరంగా నడపడం — చాక్-టెంప్లేట్:1.0.19 మరియు 1.0.20 దొంగను పంపించడం కొనసాగించండి axois-utils:1.0.9 బాట్ను విడుదల చేయడం — ఆపరేటర్ ఫేజ్ Aను వదిలివేయకుండా, ఆదాయ మార్గాలను కాపాడుకోవడానికి ప్రయత్నిస్తున్నాడని సూచిస్తుంది. ఈ కీలక మలుపు ఒక అదనంగా, ప్రత్యామ్నాయం కాదు.
మేము క్లెయిమ్ చేయనిది
మేము దీని వెనుక ఉన్న నిజ జీవిత గుర్తింపును నిర్ధారించలేకపోయాము డెడ్కోడ్09284814 మేము ఈ ప్రచారాన్ని ఏ పేరుగల ముప్పు కలిగించే వ్యక్తికి, సమూహానికి లేదా దేశానికి ఆపాదించడం లేదు. "ఫాంటమ్" బ్రాండింగ్ అన్ని ఆర్టిఫ్యాక్ట్లలో ఒకే విధంగా ఉండటం ఒకే ఆపరేటర్ను సూచిస్తుంది, కానీ C2 బైనరీని కిట్-శైలిలో పంపడం వలన, సంబంధం లేని హ్యాండిల్స్ నుండి వచ్చే భవిష్యత్ ప్యాకేజీలు అదే కోడ్ను తిరిగి ఉపయోగించుకునే అవకాశం ఉంది.
ప్రభావం, ధోరణులు మరియు డిఫెండర్లు ఏమి చేయాలి
ఇంపాక్ట్
చట్టబద్ధమైన స్క్వాట్ లక్ష్యాలు axios మరియు సుద్ద-టెంప్లేట్ జావాస్క్రిప్ట్ ఎకోసిస్టమ్లో విస్తృతంగా ఆధారపడతారు; axios అత్యధికంగా డౌన్లోడ్ చేయబడిన టాప్ ముప్పై npm ప్యాకేజీలలో ఇది ఒక్కటే ఉంది. టైపోస్క్వాట్ పేర్లు అసలైన వాటికి కేవలం ఒక్క కీస్ట్రోక్ దూరంలో ఉన్నాయి (ఆక్సోయిస్ ↔ ↔ తెలుగు axios, టెంపల్ట్ ↔ ↔ తెలుగు టెంప్లేట్), మరియు రెండూ భాషాపరంగా ఆమోదయోగ్యమైన అక్షరదోషాలు.
తొలగింపుకు ముందు హానికరమైన వెర్షన్ల కోసం మేము విశ్వసనీయమైన డౌన్లోడ్ గణాంకాలను పొందలేకపోయాము — ఒక ప్యాకేజీని అన్పబ్లిష్ చేసిన తర్వాత npm ప్రతి వెర్షన్ డౌన్లోడ్ గణనలను నిల్వ ఉంచదు, మరియు npms.ioఈ స్థాయిలో -శైలి ప్రాక్సీలు గందరగోళంగా ఉంటాయి. ఏ సంస్థ యొక్క లాక్ఫైల్ పేరు గల ప్యాకేజీకి పరిష్కరించబడుతుందో ఆ సంస్థ. axois-utils or సుద్ద దేవాలయం ప్రచురణకర్త నుండి డెడ్కోడ్09284814 రాజీపడినట్లుగా పరిగణించాలి: ఉన్న ప్రతి క్రెడెన్షియల్ను మార్చండి process.env ప్రభావిత హోస్ట్లో, ప్రతి OSకి పర్సిస్టెన్స్ వెక్టర్స్ను ఆడిట్ చేయండి (క్రింద ఉన్న “డిఫెండర్లు ఏమి చేయాలి” చూడండి), మరియు డిపెండెన్సీని తొలగించండి.
ఉద్భవిస్తున్న నమూనాలు
ఇటీవలి అనేక npm సంఘటనలలో మనం చూసిన మార్పుకు ఈ ప్రచారం ఒక ఉదాహరణ: ఇన్స్టాల్-హుక్ స్కాఫోల్డ్ అనేది మన్నికైన ఆస్తి.పేలోడ్ను మార్చుకోవచ్చుఅదే ప్రచురణకర్త, అదే ప్యాకేజీ, అదే ముందుగా ఇన్స్టాల్ చేయండి / ఇన్స్టాల్ / పోస్ట్ ఇన్స్టాల్ ట్రిపుల్, మరియు అదే వెర్షన్-బంప్ కేడెన్స్ కూడా — మధ్యలో మారిన ఏకైక విషయం ఇదే. axois-utils:1.0.6 మరియు axois-utils:1.0.9 ఫైల్ hooks రన్. ఫేజ్ A పేలోడ్కు (వాలెట్-పాత్ స్ట్రింగ్లు, ఫాంటమ్.jsదాని 7,667-లైన్ల కలెక్టర్, సెర్వియో సి2 హోస్ట్) మొదటి మూడు వెర్షన్లను ఫ్లాగ్ చేసి, ఫేజ్ బిని పూర్తిగా కోల్పోయి ఉండేది.
మేము ట్రాక్ చేసిన ఇతర 2026 క్యాంపెయిన్లలో కూడా ఇదే నమూనా కనిపిస్తోంది: స్థిరమైన స్కాఫోల్డ్తో ఉన్న ఒకే ఆపరేటర్, క్రెడెన్షియల్ దొంగతనం, పరీక్షలలో మోసానికి పాల్పడే క్లయింట్లు, టెలిగ్రామ్-బాట్ ఎక్స్ఫిల్, మరియు ఇప్పుడు DDoS రిక్రూట్మెంట్ వంటి వాటి మధ్య మారుతూ ఉంటాడు. పేలోడ్ సిగ్నేచర్లపై ఆధారపడే డిఫెండర్లు ప్రతి క్యాంపెయిన్లో రెండవ రౌండ్లో ఓడిపోతూనే ఉంటారు.
దీని పర్యవసానం ఏమిటంటే ఇన్స్టాల్-టైమ్ TTPలు మెరుగైన సంకేతంట్రిపుల్ ఇన్స్టాల్-హుక్ డిక్లరేషన్లు, దిగుమతి చేసుకునే ఇన్స్టాల్ స్క్రిప్ట్లు https or చైల్డ్_ప్రాసెస్యూజర్-స్టార్టప్ ఫోల్డర్లలోకి వ్రాసే స్క్రిప్ట్లను ఇన్స్టాల్ చేయండి మరియు ఉచిత రివర్స్-టన్నెల్ సేవలపై (సెర్వియో, localhost.run, ngrok, cloudflared) అనేవి అన్నీ చట్టబద్ధమైన ప్యాకేజీలలో అరుదుగా ఉంటాయి మరియు హానికరమైన వాటిలో సర్వసాధారణంగా ఉంటాయి.
రక్షకులు ఏమి చేయాలి
- లాక్ఫైల్ ఆడిట్. ప్రతిదాన్ని శోధించండి ప్యాకేజీ-lock.json / యార్న్.లాక్ / pnpm-lock.yaml మీ సంస్థలో ఖచ్చితమైన స్ట్రింగ్ల కోసం axois-utils మరియు సుద్ద దేవాలయంఏ మ్యాచ్నైనా ఒక రాజీగా భావించండి.
- రహస్యాలను తిప్పండి ప్రభావిత ఆతిథేయులపై. ఫేజ్ A SSH, క్లౌడ్, GitHub, npm, మరియు వాలెట్ క్రెడెన్షియల్స్ను పెద్దమొత్తంలో సేకరించింది. ఇప్పటివరకు ఉన్న ప్రతి క్రెడెన్షియల్ను పరిగణించండి. process.env, ~/.ssh, ~/.aws, ~/.npmrc, ~/.config, లేదా ఏదైనా .env* ప్రభావిత హోస్ట్లోని ఫైల్ బహిర్గతమైంది.
- పట్టుదలను తొలగించండి (దశ B). విండోస్లో, తొలగించండి HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SystemUpdate, తొలగించండి %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\system-update.batమరియు schtasks /delete /tn SystemUpdate /fలినక్స్లో, crontab -e మరియు తొలగించండి @రీబూట్ నోడ్ …, systemctl –user disable –now phantom-bot.service ఆపై తొలగించండి ~/.config/systemd/user/phantom-bot.service, స్క్రబ్ .bashrc / .zshrc / /etc/rc.localmacOSలో, launchctl unload ~/Library/LaunchAgents/com.phantom.bot.plist ఆ తర్వాత plistను తొలగించండి.
- C2 హోస్ట్లను నిరోధించండి. IOC పట్టికలోని నాలుగు C2 ఎండ్పాయింట్లను మీ ఎగ్రెస్ బ్లాక్లిస్ట్కు జోడించండి. .serveousercontent.com మరియు .lhr.life మీ పరిసరాలలో రివర్స్-టన్నెల్ సేవలకు చట్టబద్ధమైన ఉపయోగం లేకపోతే, వాటిని పూర్తిగా నిరోధించవచ్చు.
- ఇన్స్టాల్-సమయం TTP ద్వారా వేట, పేలోడ్ కాదు. ఇన్వెంటరీ లాక్ఫైల్ ఎంట్రీలు ప్యాకేజీ.జాసన్ ప్రకటించాడు ముందుగా ఇన్స్టాల్ చేయండి, ఇన్స్టాల్మరియు పోస్ట్ ఇన్స్టాల్ అన్నీ ఒకే స్క్రిప్ట్ను సూచిస్తున్నాయి. ప్యాకేజీ వయస్సు మరియు ప్రచురణకర్త ధృవీకరణ స్థితితో సరిపోల్చి తనిఖీ చేయండి. చట్టబద్ధమైన ప్యాకేజీలలో ఈ నమూనా అరుదుగా కనిపిస్తుంది మరియు ఫాంటమ్బాట్ తిరిగి ఉపయోగించే అత్యంత విశ్వసనీయమైన ఏకైక సంకేతం ఇదే.
- C2 బైనరీ కోసం ఆడిట్. డౌన్లోడ్ చేసుకున్న ఎవరైనా axois-utils:1.0.9 ఆపరేటర్ యొక్క C2 సర్వర్ను కలిగి ఉంది (c2 ELF, sha256 165fa92d…డిస్క్లో ఉంది. కాష్లు మరియు CI ఆర్టిఫ్యాక్ట్ స్టోర్లను స్కాన్ చేయండి. బైనరీ దానంతట అది నిద్రాణంగా ఉంటుంది, కానీ వర్క్స్టేషన్లో దాని ఉనికి ప్యాకేజీ ఇన్స్టాల్ చేయబడిందనడానికి నిస్సందేహమైన సాక్ష్యం.
ముగింపు పంక్తి
ఒకే ఆపరేటర్, ఒకే ప్యాకేజీ, మరియు ఒకే ఇన్స్టాల్ హుక్ 48 గంటల వ్యవధిలోనే పూర్తిగా భిన్నమైన ముప్పులను కలిగించగలవు. పేలోడ్ను కాదు, స్కాఫోల్డ్ను గమనించండి.




