ఫాంటమ్‌బాట్: ఆధారాల దొంగతనం నుండి బాట్‌నెట్ వరకు

ఫాంటమ్‌బాట్: క్రెడెన్షియల్ దొంగతనం నుండి టర్న్‌కీ బాట్‌నెట్ కిట్‌గా రూపాంతరం చెందిన ఒక టైపోస్క్వాట్ ప్రచారం

విషయ సూచిక

తప్పక చదవాల్సిన పోస్ట్‌లు

ఆసక్తికరమైన తాజా పోస్ట్‌లు

TL; DR

ఒకే npm పబ్లిషర్, deadcode09284814చట్టబద్ధమైన వాటికి వ్యతిరేకంగా టైపోస్క్వాట్ ప్రచారాన్ని నడిపింది axios మరియు chalk-template మే 2026 మధ్య నుండి ప్యాకేజీలు.

ఈ ప్రచారం మొదట ఒక సాధారణ క్రెడెన్షియల్ మరియు వాలెట్ దొంగగా ప్రారంభమై, డేటాను ఒక నిర్దిష్ట ప్రదేశానికి తరలిస్తూ సాగింది. సర్వియో హెచ్‌టిటిపిఎస్ టన్నెల్.

On 2026-05-17తో axois-utils:1.0.9ఆపరేటర్ పేలోడ్‌ను పూర్తిగా మార్చాడు: అవే ట్రిపుల్ ఇన్‌స్టాల్-హుక్ స్కాఫోల్డ్, అవే పబ్లిషర్, అవే ప్యాకేజీ పేరు.

కానీ ఆ ఇన్‌స్టాల్ స్క్రిప్ట్ ఇప్పుడు క్రాస్-ప్లాట్‌ఫామ్ DDoS బాట్‌నెట్‌గా మారింది.

పేలోడ్ ఒక దానితో మాట్లాడుతుంది localhost.run టన్నెల్ చేసి ఫ్లడ్ కమాండ్‌లను స్వీకరించి, సోకిన పరిసరాలను DDoS-సామర్థ్యం గల బాట్‌నెట్‌లో భాగంగా మారుస్తుంది.

ఆపరేటర్ కూడా రవాణా చేసాడు C2 సర్వర్ బైనరీ టార్‌బాల్ లోపల, క్రెడెన్షియల్ దొంగతనం నుండి క్రియాశీల బాట్‌నెట్ మౌలిక సదుపాయాల వరకు స్పష్టమైన పెరుగుదల కనిపిస్తోంది.

రిజిస్ట్రీలో ఇప్పటికీ క్రియాశీలంగా ఉన్న రెండు ప్యాకేజీలు, నాలుగు వెర్షన్లు మరియు ఒక ఆపరేటర్ ఇప్పుడు రెండు మాడ్యూళ్లను సమాంతరంగా నడుపుతున్నారు.

తీవ్రత: అధికం.

హెడ్‌లైన్ ఐఓసి ప్రచురణకర్త deadcode09284814 నుండి ఏదైనా axois-utils లేదా chalk-tempalte వెర్షన్

దాడి: అది ఎలా పనిచేస్తుంది

ఈ ప్రచారం ఉద్దేశపూర్వకంగానే విసుగు పుట్టించే ప్రదర్శన పద్ధతిపై నిర్మించబడింది: వారానికి వందల మిలియన్ల డౌన్‌లోడ్‌లు ఉన్న ప్యాకేజీల పేర్ల కంటే ఒక్క అక్షరం తేడాతో ఉండే రెండు చిన్న చిన్న ప్యాకేజీ పేర్లు (axios, సుద్ద-టెంప్లేట్), మరియు ట్రిపుల్ ఇన్‌స్టాల్ hooks అది అమలుకు హామీ ఇస్తుంది. ఆసక్తికరమైన విషయం ఏమిటంటే ఆ స్కాఫోల్డ్. చేరవేస్తుంది మరియు ఆపరేటర్ మరేమీ మార్చకుండా సరుకును మాత్రమే మార్చాడనే వాస్తవం.

భాగస్వామ్య స్కాఫోల్డ్

రెండు ప్యాకేజీల యొక్క ప్రచురితమైన ప్రతి వెర్షన్ ఒకే మూడు లైఫ్‌సైకిల్‌లను ప్రకటిస్తుంది hooks in ప్యాకేజీ.జాసన్:

"scripts": {    "preinstall":  "node <payload>.js",    "install":     "node <payload>.js",    "postinstall": "node <payload>.js"  } 

మూడు కింద పేలోడ్‌ను జాబితా చేయడం hooks ఇది అనవసరం — పోస్ట్ ఇన్‌స్టాల్ ఒంటరిగా డిఫాల్ట్‌లో నడుస్తుంది npm సంస్థాపనఎంపిక ముఖ్యం: npm install –ignore-scripts స్క్రిప్ట్‌లను దాటవేస్తుంది, కానీ అనేక సాధారణ వర్క్‌ఫ్లోలు (CI కాష్ పునరుద్ధరణలు ఆ లైఫ్‌సైకిల్‌ను మళ్లీ అమలు చేస్తాయి) hooks ఎంపికగా, లేదా ఆడిట్ చేసే డెవలపర్లు మాత్రమే పోస్ట్ ఇన్‌స్టాల్ట్రిపుల్-రిడండెంట్ డిక్లరేషన్‌ను దాడి చేసేవారికి అత్యంత సురక్షితమైన మార్గంగా చేస్తుంది.

సుద్ద దేవాలయం రెండవ యంత్రాంగాన్ని జతచేస్తుంది: అది ప్రకటిస్తుంది axois-utils:^1.0.7 రన్‌టైమ్‌గా డిపెండెన్సీటైపోస్క్వాటెడ్‌ను ఇన్‌స్టాల్ చేయడం సుద్ద-టెంప్లేట్ అందువల్ల ఇది సోదర టైపోస్క్వాట్‌ను కూడా లాగుతుంది, మరియు రెండు పేలోడ్‌లు నడుస్తాయి. ఈ రెండు ప్యాకేజీలు ఒక సమన్వయ జంట, స్వతంత్ర జాబితాలు కావు.

దశ A — క్రెడెన్షియల్ / వాలెట్ స్టీలర్ (2026-05-15 → ప్రస్తుతం)

ఫేజ్ A అనేది అసలైన పేలోడ్. లోడర్ అనేది చిన్నది. పోస్ట్‌ఇన్‌స్టాల్.js అది సర్వియో HTTPS రివర్స్-టన్నెల్‌ను సూచిస్తుంది:

// chalk-tempalte/postinstall.js:11-13  const C2_HOST = "f04a273bd84c0622-80-200-28-28.serveousercontent.com";  const C2_PORT = 443;  const C2_PATH = '/collect'; 

సర్వియో సబ్‌డొమైన్ గమ్యస్థాన IPని ఎన్‌కోడ్ చేస్తుంది (80.200.28.28హోస్ట్ పేరులో నేరుగా చేర్చడం — ఇది ఆ సేవకు సుపరిచితమైన సంప్రదాయం. సాధారణ డొమైన్ బ్లాక్‌లిస్ట్‌లను తప్పించుకోవడానికి ఆపరేటర్ వెర్షన్‌ల మధ్య యాదృచ్ఛిక సబ్‌డొమైన్ ప్రిఫిక్స్‌ను మారుస్తూ ఉంటాడు, కానీ దాని కింద ఉన్న IP ఎప్పటికీ మారదు.చాక్-టెంప్లేట్:1.0.14 ఉపయోగించబడిన 8a3e818ea8f11186-80-200-28-28…; 1.0.16 / 1.0.19 / 1.0.20 ఉపయోగించండి f04a273bd84c0622-….)

పోస్ట్‌ఇన్‌స్టాల్.js చేతులు దించండి ఫాంటమ్.js7,667 లైన్ల బండిల్డ్ “కలెక్టర్” మాడ్యూల్. ఫాంటమ్.js హోస్ట్ దీనికోసం నడుస్తుంది:

SSH ప్రైవేట్ కీలు (~/.ssh/*)
.npmrc విషయాలు మరియు ఏదైనా npm_* env టోకెన్లు
AWS, GCP మరియు Azure ఆధారాల ఫైల్‌లు
గిట్‌హబ్ వ్యక్తిగత-యాక్సెస్-టోకెన్ రెగెక్స్ (ghp_*, gho_*, ghu_*, ghs_*)
బిట్‌కాయిన్, ఎక్సోడస్, ఎలెక్ట్రమ్, మొనెరో, లైట్‌కాయిన్, డాగ్‌కాయిన్, జెడ్‌క్యాష్, డాష్ కోసం క్రిప్టో-వాలెట్ ఆర్టిఫ్యాక్ట్‌లు
పునరావృత .env* నడక మార్గం ~/projects, ~/dev, ~/code, ~/workspaceమరియు ఇన్‌స్టాల్ సిడబ్ల్యుడి
షెల్ చరిత్రలు మరియు పూర్తి process.env

బండిల్ సర్వియో టన్నెల్‌కు POST చేయబడింది /సేకరించు. ఇక్కడ ఎలాంటి అస్పష్టత, యాంటీ-VM లాజిక్, స్టేజింగ్ ఉండవు — ఆపరేటర్ యొక్క ప్రధాన లక్ష్యం వాల్యూమ్ మరియు వేగం.

దశ B — ఫాంటమ్‌బాట్ DDoS రిక్రూట్ (2026-05-17, axois-utils:1.0.9 మాత్రమే)

ఫేజ్ B, phantom.js + postinstall.js ఫైళ్ళను distrube.js అనే ఒకే ఫైల్‌తో భర్తీ చేస్తుంది (అక్షర దోషం ఆపరేటర్‌ది). package.json లోని ట్రిపుల్-హుక్ స్కాఫోల్డ్ మారదు; ప్యాకేజీ అదే పేరు, స్కోప్ మరియు వెర్షన్-బంప్ ప్యాటర్న్‌ను కలిగి ఉంటుంది. బయటి నుండి చూస్తే, axois-utils:1.0.9 అనేది 1.0.6కి ఒక చిన్న కొనసాగింపులా కనిపిస్తుంది. కానీ లోపల, ఇది ఒక విభిన్న మాల్వేర్ కుటుంబానికి చెందినది.

distrube.js ఆపరేటర్ యొక్క సొంత బ్రాండింగ్‌ను పేర్కొనే కాన్ఫిగరేషన్ బ్లాక్‌తో ఇది ప్రారంభమవుతుంది:

// axois-utils-1.0.9/distrube.js:11-15
// Use your localhost.run HTTPS URL (the tunnel handles HTTP internally)
const C2_HOST = 'b94b6bcfa27554.lhr.life'; // Your localhost.run tunnel
const C2_PORT = 443; // HTTPS port - tunnel handles SSL
const BOT_ID = `${os.hostname()}_${Date.now()}_${crypto.randomBytes(4).toString('hex')}`;

ఆ వ్యాఖ్యలు కిట్‌ను నడిపే భవిష్యత్ ఆపరేటర్‌ను ఉద్దేశించి చేసినవి (“మీ localhost.run HTTPS URLను ఉపయోగించండి”). అది, మరియు బాట్ క్లయింట్‌తో పాటు పంపబడేది, ఇది కేవలం బాధితుడి కోసం పంపిన పేలోడ్ మాత్రమే కాదని, ఇదే అసలైన కిట్ అని స్పష్టం చేస్తుంది.

ప్రవాహం:

  1. పట్టుదల మొదట రన్ అవుతుంది. ఈ స్క్రిప్ట్ ఒక్కో OS కి మూడు వేర్వేరు మార్గాల్లో (రిజిస్ట్రీ) ఇన్‌స్టాల్ అవుతుంది. రన్ + స్టార్టప్ ఫోల్డర్ + పనులు విండోస్‌లో; క్రోన్‌టాబ్ + ఫాంటమ్-బాట్.సర్వీస్ సిస్టమ్‌డి యూనిట్ + .bashrc/.zshrc జోడించు + /etc/rc.local Linuxలో; లాంచ్ ఏజెంట్ com.phantom.bot.plist macOSలో). పర్సిస్టెన్స్ సర్వీస్ పేరు మరియు లాంచ్ ఏజెంట్ లేబుల్ రెండూ ఫాంటమ్-బాట్ / com.phantom.botప్రచారానికి పేరు కూడా అక్కడి నుంచే వచ్చింది.
  2. సిస్టమ్ సమాచారం బహిర్గతం ఇది ఒక్కసారి మాత్రమే నడుస్తుంది — హోస్ట్‌నేమ్, ప్లాట్‌ఫారమ్, ఆర్కిటెక్చర్, యూజర్‌నేమ్, CPU/RAM, నెట్‌వర్క్ ఇంటర్‌ఫేస్‌లు, process.env, cwd, homedir, నోడ్ వెర్షన్, మరియు పబ్లిక్ IPలను కలిగి ఉండే ఒక వన్-షాట్ ఫింగర్‌ప్రింట్ POST మెయిల్ b94b6bcfa27554.lhr.life:443/collectకు పంపబడుతుంది. ఇది ఫేజ్ A కంటే చాలా తక్కువ తీవ్రమైనది: ఇందులో SSH, వాలెట్‌లు, లేదా .env రికర్షన్ ఉండవు. ఈ బాట్ యొక్క పని నమోదు చేసుకోవడం, దొంగిలించడం కాదు.
  3. హృదయ స్పందన లూప్ ప్రతి 30 సెకన్లకు b94b6bcfa27554.lhr.life:443/ కు ఒక HTTPS POST ను తెరుస్తుంది. యూజర్-ఏజెంట్ ఫాంటమ్‌బాట్/1.0. TLS ధృవీకరణ స్పష్టంగా నిలిపివేయబడింది (rejectUnauthorized: false). C2 ప్రతిస్పందన {type, target, port, duration, threads, method} రూపంలో JSON గా పార్స్ చేయబడి, పంపబడుతుంది.
  4. వరద ఆయుధాగారం ఆరు ఆదేశాలకు అనుసంధానించబడింది:
కమాండ్ రకం మాడ్యూల్ గమనికలు
పింగ్ లైవ్‌నెస్ రిప్లై బాట్ తనను తాను గుర్తించుకుంటుంది
http HTTP వరద లేయర్-7 అభ్యర్థనల వెల్లువ
https HTTPS వరద http మాదిరిగానే, TLS-ర్యాప్ చేయబడింది
tcp TCP వరద 65 KB యాదృచ్ఛిక-పేలోడ్ స్పామ్
UDP యూడీపీ వరద 65,507-బైట్ UDP ప్యాకెట్లు
వేగవంతమైన HTTP/2 రాపిడ్-రీసెట్ DoS 2023 CVE-2023-44487 టెక్నిక్

ఐదు వరద మాడ్యూల్స్ అన్నీ తీసుకుంటాయి లక్ష్యం, పోర్ట్, వ్యవధిమరియు థ్రెడ్లు వాదన — ఈ బాట్ అనేది అద్దెకు తీసుకునే ఒక సాధారణ ఫ్లడ్డర్, ఇది ఏ నిర్దిష్ట బాధితుడినీ లక్ష్యంగా చేసుకోదు. ఆపరేటర్ యొక్క బాధితుల జాబితా ప్యాకేజీలో కాకుండా C2లో ఉంటుంది.

ఇక్కడ కొత్తగా ఏముంది — రవాణా చేయబడిన C2 బైనరీ

ఫేజ్ A ఒక సుపరిచితమైన ఆకారం: క్రెడెన్షియల్ దొంగతనం, ఇన్‌స్టాల్ హుక్, వెండర్-టన్నెల్డ్ C2. ఫేజ్ B కూడా సుపరిచితమైన ఆకారం — DDoS బాట్‌నెట్‌లు చాలా సంవత్సరాలుగా హానికరమైన npm ప్యాకేజీలలో ఒక భాగంగా ఉన్నాయి. అసాధారణమైన విషయం ఏమిటంటే, ఆపరేటర్ దానిని పంపించాడు. సర్వర్ వైపు npm టార్‌బాల్‌లోని కిట్ యొక్క:

  • c2 — 4-మెగాబైట్ల సంకలనం చేయబడిన గో ELF బైనరీ
  • సి2.గో — ఆ బైనరీకి సంబంధించిన 426-లైన్ల గో సోర్స్

ఈ రెండు ఫైళ్ళలో ఏదీ ఏ ఇన్‌స్టాల్ హుక్ ద్వారా పిలవబడలేదు. అవి విక్టిమ్ పేలోడ్‌లో భాగం కాదు. అవి ఒక డాక్యుమెంటేషన్ ఫైల్ ఉండే విధంగానే ప్యాకేజీ డైరెక్టరీలో ఉన్నాయి. దీనిని బట్టి అత్యంత సహేతుకంగా అనిపించేది ఏమిటంటే, ఆపరేటర్ ఫైల్ జాబితాను సరిచూడకుండానే వారి డెవలప్‌మెంట్ వర్కింగ్ ట్రీని npm లోకి పంపారు — ఇది ఒక నిజమైన OpSec తప్పిదం — మరియు పంపబడినది పూర్తి టూ-సైడెడ్ కిట్: విక్టిమ్ నడిపే క్లయింట్, మరియు ఆపరేటర్ నడిపే సర్వర్.

కథలో ఈ భాగమే “టర్న్‌కీ బాట్‌నెట్ కిట్” అనే పేరును సమర్థిస్తుంది. డౌన్‌లోడ్ చేసుకున్న ఎవరైనా axois-utils:1.0.9 టేక్‌డౌన్‌కు ముందు వారి వద్ద బాధితుల నమూనా మాత్రమే కాకుండా, పనిచేస్తున్న C2 సర్వర్ కూడా ఉంది.

కీలకమైన అంశం, ఒక్క వాక్యంలో

అదే ప్రచురణకర్త, అవే ప్యాకేజీ పేర్లు, అదే మూడు కొక్కేల నిర్మాణం, అదే “ఫాంటమ్” బ్రాండింగ్ — కానీ పేలోడ్ రాత్రికి రాత్రే మానిటైజేషన్ మోడల్‌ను మార్చేసింది: “నేను తిరిగి అమ్మగల రహస్యాలను సేకరించడం” నుండి “నేను లీజుకు ఇవ్వగల వరద సామర్థ్యాన్ని అద్దెకు తీసుకోవడం” వరకు. రక్షకులు గమనించవలసిన ఇన్‌స్టాల్-టైమ్ TTPలు రెండు దశలలోనూ దాదాపు ఒకేలా ఉంటాయి; ఫేజ్ A యొక్క వాలెట్-పాత్ స్ట్రింగ్‌లకు లేదా అనుసంధానించబడిన సిగ్నేచర్-ఆధారిత రక్షణలు ఫాంటమ్.jsదాని 7,667-లైన్ల కలెక్టర్ ఫేజ్ బిని పూర్తిగా కోల్పోయి ఉండేది.

తేదీ (UTC) ఈవెంట్
2026-05-15 మొదటి ప్రచురణ: axois-utils:1.0.4 (LAN టెస్ట్ బిల్డ్, డెవ్ రిగ్ వద్ద) 192.168.129.19)
2026-05-15 axois-utils:1.0.6 ప్రచురించబడింది — ఫేజ్ A C2 మార్చబడింది 80.200.28.28 సర్వియో టన్నెల్ ద్వారా; మూల వ్యాఖ్య // Change to '80.200.28.28' for public dev→prod మార్పిడిని ధృవీకరిస్తుంది
2026-05-16 chalk-tempalte:1.0.14 మరియు 1.0.16 ప్రచురించబడింది — చైన్డ్ లోడర్ ప్రకటిస్తోంది axois-utils:^1.0.7 రన్‌టైమ్ డిపెండెన్సీగా; సర్వియో సబ్‌డొమైన్ రొటేట్ చేయబడింది
2026-05-16 సాధారణ npm స్కానింగ్ సమయంలో ఫేజ్ A క్యాంపెయిన్ కనుగొనబడింది; హానికరమైనదిగా నిర్ధారించబడింది అనే తీర్పులు వర్తింపజేయబడ్డాయి.
2026-05-17 axois-utils:1.0.9 ప్రచురించబడింది — పేలోడ్ పివట్: localhost.run టన్నెల్ ద్వారా ఫాంటమ్‌బాట్ DDoS రిక్రూట్; ఆపరేటర్ వైపు c2 బైనరీ మరియు c2.go టార్‌బాల్‌లో పంపబడిన మూలం
2026-05-17 chalk-tempalte:1.0.19 మరియు 1.0.20 ప్రచురించబడింది — ఇప్పటికీ ఫేజ్ A (స్టీలర్); ఆపరేటర్ ఇప్పుడు రెండు మాడ్యూళ్లను సమాంతరంగా నడుపుతున్నాడు
2026-05-17 సాధారణ స్కానింగ్ సమయంలో ఫేజ్ బిని కనుగొనడం; తీర్పులు అన్నింటికీ వర్తింపజేయబడ్డాయి 2026-05-17 సంస్కరణలు
(కొనసాగుతోంది) తొలగింపు నివేదికలు పెండింగ్‌లో ఉన్నాయి; ఈ రచన సమయానికి ప్రచురించబడిన నాలుగు ప్యాకేజీలూ రిజిస్ట్రీలో అందుబాటులో ఉన్నాయి.

రాజీ సూచికలు

ప్యాకేజీలు

పర్యావరణ వ్యవస్థ ప్యాకేజీ సంస్కరణలు
npm axois-utils (axios యొక్క టైపోస్క్వాట్) 1.0.4, 1.0.6, 1.0.9
npm chalk-tempalte (చాక్ టెంప్లేట్ యొక్క టైపోస్క్వాట్) 1.0.14, 1.0.16, 1.0.19, 1.0.20

రచయిత గుర్తింపు

ఫీల్డ్ విలువ
npm ప్రచురణకర్త deadcode09284814
ప్రచురణకర్త ఇమెయిల్ phantomdeadcode@tutamail.com
SCM ధృవీకరణ ఎవరూ

కమాండ్ అండ్ కంట్రోల్

దశ endpoint రవాణా
A f04a273bd84c0622-80-200-28-28.serveousercontent.com:443/collect సర్వియో హెచ్‌టిటిపిఎస్ టన్నెల్
A 8a3e818ea8f11186-80-200-28-28.serveousercontent.com:443/collect సర్వియో HTTPS టన్నెల్ (పాత వెర్షన్)
A 80.200.28.28:443/collect అంతర్లీన VPS ఎండ్‌పాయింట్
B b94b6bcfa27554.lhr.life:443/ localhost.run HTTPS రివర్స్-టన్నెల్

ఫైల్ డైజెస్ట్‌లు (SHA-256)

ఫైలు SHA-256 గమనికలు
c2 (గో ఈఎల్ఎఫ్, 4 ఎంబి) 165fa92d237fd017c227d00da06ab788212a62be94bf61e95df2d22d00377ef2 ఆపరేటర్-సైడ్ C2 సర్వర్, లోపల పంపబడింది axois-utils:1.0.9
c2.go (426 పంక్తులు) 7d0ae79fdb1e9968f3323a3712b624643a782ba3efb2cf3a2cb9c4c5513cea30 C2 బైనరీ కోసం గో సోర్స్
distrube.js 308b15c023088a7188dea4ef609010ac2493eb4c365b103053d7621a9ca5b935 ఫేజ్ బి బాట్ క్లయింట్
phantom.js (chalk-tempalte:1.0.19) 9e380ec88d3ccf3929e1a104e3b868d4d7b59ca189a8a431a54e9f3357dfdd81 ఫేజ్ A క్రెడెన్షియల్ / వాలెట్ కలెక్టర్
phantom.js (chalk-tempalte:1.0.20) d1c9e3f296ee9f7d5032f73f9c504cede50334bc14c394055fd5cb9c3a6e08b3 ఫేజ్ A కలెక్టర్ (1.0.20 వేరియంట్)
postinstall.js (chalk-tempalte:1.0.19 = 1.0.20) ffba9bdd6793edd5b38e12900252c1813a693f59c25af51c3b658cf3f27b6162 ఫేజ్ A లోడర్, రెండు వెర్షన్‌లలోనూ బైట్ పరంగా ఒకేలా ఉంటుంది

ఆపాదించడం & ప్రేరణ

మేము ఈ ప్రచారాన్ని ట్రాక్ చేస్తాము ఫాంటమ్‌బాట్ఆపరేటర్ యొక్క సొంత బ్రాండింగ్‌ను తీసుకోవడం యూజర్-ఏజెంట్: ఫాంటమ్‌బాట్/1.0 హృదయ స్పందన శీర్షిక, ఫాంటమ్-బాట్.సర్వీస్ సిస్టమ్‌డి యూనిట్, com.phantom.bot లాంచ్ ఏజెంట్ లేబుల్, మరియు phantomdeadcode@ ఇమెయిల్ హ్యాండిల్. ఆపరేటర్ కనీసం నాలుగు ఆర్టిఫ్యాక్ట్‌లలో ఈ పేరు విషయంలో స్థిరంగా ఉన్నారు.

సిగ్నల్స్ కేటలాగ్

  • <span style="font-family: Mandali; "> ప్రచురణ కర్త </span> - డెడ్‌కోడ్09284814 npmలో. సింగిల్-హ్యాండిల్ ఖాతా, టుటామెయిల్ డిస్పోజబుల్ ఇమెయిల్, లేదు SCM ధృవీకరణ. ఈ ప్రచారం తర్వాత మునుపటి ప్రచురణ చరిత్ర లేదు.
  • బ్రాండింగ్ పునరుపయోగం — “ఫాంటమ్” ప్రచురణకర్త ఇమెయిల్‌లో, ఫేజ్ A కలెక్టర్ ఫైల్‌పేరులో కనిపిస్తుంది (ఫాంటమ్.js), ఫేజ్ బి పర్సిస్టెన్స్ సర్వీస్ పేరులో (ఫాంటమ్-బాట్.సర్వీస్), లాంచ్ ఏజెంట్ లేబుల్‌లో (com.phantom.bot), మరియు బాట్ యూజర్-ఏజెంట్‌లో (ఫాంటమ్‌బాట్/1.0).
  • ఇన్ఫ్రాస్ట్రక్చర్ ఒకే ఒక్క VPS వద్ద 80.200.28.28 సెర్వియో సబ్‌డొమైన్ భ్రమణం ద్వారా ఫేజ్ A ముందుకి వెళుతుంది; ఫేజ్ B ఒకదానికి కదులుతుంది localhost.run రివర్స్-టన్నెల్ (b94b6bcfa27554.lhr.lifeతక్కువ బడ్జెట్, తక్కువ ఆపరేషనల్ సెక్యూరిటీ (OpSec) సెటప్‌లకు అనుగుణంగా, రెండు వెండర్ సేవలు ఉచితం మరియు ఆపరేటర్ వైపు నుండి కేవలం అవుట్‌బౌండ్ SSH మాత్రమే అవసరం.
  • కోడ్ శైలి — అంతటా సాధారణ జావాస్క్రిప్ట్; అస్పష్టత లేదు, స్ట్రింగ్ ఎన్‌కోడింగ్ లేదు, యాంటీ-VM తనిఖీలు లేవు. వేరియబుల్ పేర్లు వివరణాత్మకంగా ఉంటాయి (సిస్టమ్ సమాచారాన్ని దొంగిలించండి, executeCommand, httpFloodవ్యాఖ్యలు distrube.js భవిష్యత్ ఆపరేటర్‌ను నేరుగా ఉద్దేశించి (“మీ localhost.run HTTPS URLని ఉపయోగించండి”), ఈ ఫైల్ ఒకే దాడి చేసే వ్యక్తి ఉపయోగించడం కోసం కాకుండా, ఒక కిట్‌గా పునఃపంపిణీ చేయడానికి ఉద్దేశించబడిందని ఇది సూచిస్తుంది.
  • ఆపరేషనల్ సెక్యూరిటీ లోపం — ఫేజ్ బి టార్‌బాల్ బాట్ క్లయింట్ మరియు ఆపరేటర్-సైడ్ సి2 సర్వర్ రెండింటినీ పంపుతుంది (c2 ELF + సి2.గో మూలం). ఫైల్ జాబితాను ఆడిట్ చేయకుండా తమ వర్కింగ్ ట్రీని npm కు పుష్ చేసిన ఆపరేటర్‌కు ఇది అనుగుణంగా ఉంది. ఆపరేటర్‌కు అనుభవం లేకపోవచ్చు, లేదా కిట్ సరిగ్గా లేకపోవచ్చు. అర్థం బహిరంగంగా పంపిణీ చేయబడుతుంది మరియు C2 బైనరీ ఉత్పత్తిలో భాగం.
  • స్వీయ-ధృవీకరణ - axois-utils:1.0.4 మూల వ్యాఖ్యను కలిగి ఉంది ప్రజల కోసం '80.200.28.28' గా మార్చండి లైన్ 12లో, ఆపరేటర్లు సాధారణంగా తిరస్కరించే dev / staging / production పురోగతిని ధృవీకరిస్తోంది.

ప్రేరణ

ఫేజ్ A పేలోడ్ అనేది స్పష్టమైన ఆర్థిక దొంగతనం: క్రెడెన్షియల్స్, క్లౌడ్ కీలు, గిట్‌హబ్ టోకెన్‌లు మరియు క్రిప్టో వాలెట్‌లన్నింటికీ లిక్విడ్ రీసేల్ మార్కెట్‌లు ఉన్నాయి. ఫేజ్ B కూడా ఆర్థికపరమైనదే, కానీ పరోక్షమైనది: అద్దెకు తీసుకునే DDoS (“బూటర్”) సేవలు నిమిషానికి ఫ్లడ్ కెపాసిటీని అద్దెకు తీసుకుంటాయి, మరియు ఇక్కడ పంపబడినటువంటి బాట్‌లే ఆ సేవలు పనిచేసే ఇన్వెంటరీ. 30-సెకన్ల హార్ట్‌బీట్, సాధారణ లక్ష్యం/పోర్ట్/వ్యవధి కమాండ్ స్కీమా మరియు ఐదు ప్రోటోకాల్‌ల వరద ఆయుధాగారం అనేవి standard బూటర్ ఆపరేటర్ యొక్క ఉత్పత్తి.

రెండు మాడ్యూళ్లను సమాంతరంగా నడపడం — చాక్-టెంప్లేట్:1.0.19 మరియు 1.0.20 దొంగను పంపించడం కొనసాగించండి axois-utils:1.0.9 బాట్‌ను విడుదల చేయడం — ఆపరేటర్ ఫేజ్ Aను వదిలివేయకుండా, ఆదాయ మార్గాలను కాపాడుకోవడానికి ప్రయత్నిస్తున్నాడని సూచిస్తుంది. ఈ కీలక మలుపు ఒక అదనంగా, ప్రత్యామ్నాయం కాదు.

మేము క్లెయిమ్ చేయనిది

మేము దీని వెనుక ఉన్న నిజ జీవిత గుర్తింపును నిర్ధారించలేకపోయాము డెడ్‌కోడ్09284814 మేము ఈ ప్రచారాన్ని ఏ పేరుగల ముప్పు కలిగించే వ్యక్తికి, సమూహానికి లేదా దేశానికి ఆపాదించడం లేదు. "ఫాంటమ్" బ్రాండింగ్ అన్ని ఆర్టిఫ్యాక్ట్‌లలో ఒకే విధంగా ఉండటం ఒకే ఆపరేటర్‌ను సూచిస్తుంది, కానీ C2 బైనరీని కిట్-శైలిలో పంపడం వలన, సంబంధం లేని హ్యాండిల్స్ నుండి వచ్చే భవిష్యత్ ప్యాకేజీలు అదే కోడ్‌ను తిరిగి ఉపయోగించుకునే అవకాశం ఉంది.

ఇంపాక్ట్

చట్టబద్ధమైన స్క్వాట్ లక్ష్యాలు axios మరియు సుద్ద-టెంప్లేట్ జావాస్క్రిప్ట్ ఎకోసిస్టమ్‌లో విస్తృతంగా ఆధారపడతారు; axios అత్యధికంగా డౌన్‌లోడ్ చేయబడిన టాప్ ముప్పై npm ప్యాకేజీలలో ఇది ఒక్కటే ఉంది. టైపోస్క్వాట్ పేర్లు అసలైన వాటికి కేవలం ఒక్క కీస్ట్రోక్ దూరంలో ఉన్నాయి (ఆక్సోయిస్ ↔ ↔ తెలుగు axios, టెంపల్ట్ ↔ ↔ తెలుగు టెంప్లేట్), మరియు రెండూ భాషాపరంగా ఆమోదయోగ్యమైన అక్షరదోషాలు.

తొలగింపుకు ముందు హానికరమైన వెర్షన్‌ల కోసం మేము విశ్వసనీయమైన డౌన్‌లోడ్ గణాంకాలను పొందలేకపోయాము — ఒక ప్యాకేజీని అన్‌పబ్లిష్ చేసిన తర్వాత npm ప్రతి వెర్షన్ డౌన్‌లోడ్ గణనలను నిల్వ ఉంచదు, మరియు npms.ioఈ స్థాయిలో -శైలి ప్రాక్సీలు గందరగోళంగా ఉంటాయి. ఏ సంస్థ యొక్క లాక్‌ఫైల్ పేరు గల ప్యాకేజీకి పరిష్కరించబడుతుందో ఆ సంస్థ. axois-utils or సుద్ద దేవాలయం ప్రచురణకర్త నుండి డెడ్‌కోడ్09284814 రాజీపడినట్లుగా పరిగణించాలి: ఉన్న ప్రతి క్రెడెన్షియల్‌ను మార్చండి process.env ప్రభావిత హోస్ట్‌లో, ప్రతి OSకి పర్సిస్టెన్స్ వెక్టర్స్‌ను ఆడిట్ చేయండి (క్రింద ఉన్న “డిఫెండర్లు ఏమి చేయాలి” చూడండి), మరియు డిపెండెన్సీని తొలగించండి.

ఉద్భవిస్తున్న నమూనాలు

ఇటీవలి అనేక npm సంఘటనలలో మనం చూసిన మార్పుకు ఈ ప్రచారం ఒక ఉదాహరణ: ఇన్‌స్టాల్-హుక్ స్కాఫోల్డ్ అనేది మన్నికైన ఆస్తి.పేలోడ్‌ను మార్చుకోవచ్చుఅదే ప్రచురణకర్త, అదే ప్యాకేజీ, అదే ముందుగా ఇన్‌స్టాల్ చేయండి / ఇన్స్టాల్ / పోస్ట్ ఇన్‌స్టాల్ ట్రిపుల్, మరియు అదే వెర్షన్-బంప్ కేడెన్స్ కూడా — మధ్యలో మారిన ఏకైక విషయం ఇదే. axois-utils:1.0.6 మరియు axois-utils:1.0.9 ఫైల్ hooks రన్. ఫేజ్ A పేలోడ్‌కు (వాలెట్-పాత్ స్ట్రింగ్‌లు, ఫాంటమ్.jsదాని 7,667-లైన్ల కలెక్టర్, సెర్వియో సి2 హోస్ట్) మొదటి మూడు వెర్షన్‌లను ఫ్లాగ్ చేసి, ఫేజ్ బిని పూర్తిగా కోల్పోయి ఉండేది.

మేము ట్రాక్ చేసిన ఇతర 2026 క్యాంపెయిన్‌లలో కూడా ఇదే నమూనా కనిపిస్తోంది: స్థిరమైన స్కాఫోల్డ్‌తో ఉన్న ఒకే ఆపరేటర్, క్రెడెన్షియల్ దొంగతనం, పరీక్షలలో మోసానికి పాల్పడే క్లయింట్లు, టెలిగ్రామ్-బాట్ ఎక్స్‌ఫిల్, మరియు ఇప్పుడు DDoS రిక్రూట్‌మెంట్ వంటి వాటి మధ్య మారుతూ ఉంటాడు. పేలోడ్ సిగ్నేచర్‌లపై ఆధారపడే డిఫెండర్లు ప్రతి క్యాంపెయిన్‌లో రెండవ రౌండ్‌లో ఓడిపోతూనే ఉంటారు.

దీని పర్యవసానం ఏమిటంటే ఇన్‌స్టాల్-టైమ్ TTPలు మెరుగైన సంకేతంట్రిపుల్ ఇన్‌స్టాల్-హుక్ డిక్లరేషన్‌లు, దిగుమతి చేసుకునే ఇన్‌స్టాల్ స్క్రిప్ట్‌లు https or చైల్డ్_ప్రాసెస్యూజర్-స్టార్టప్ ఫోల్డర్‌లలోకి వ్రాసే స్క్రిప్ట్‌లను ఇన్‌స్టాల్ చేయండి మరియు ఉచిత రివర్స్-టన్నెల్ సేవలపై (సెర్వియో, localhost.run, ngrok, cloudflared) అనేవి అన్నీ చట్టబద్ధమైన ప్యాకేజీలలో అరుదుగా ఉంటాయి మరియు హానికరమైన వాటిలో సర్వసాధారణంగా ఉంటాయి.

రక్షకులు ఏమి చేయాలి

  • లాక్‌ఫైల్ ఆడిట్. ప్రతిదాన్ని శోధించండి ప్యాకేజీ-lock.json / యార్న్.లాక్ / pnpm-lock.yaml మీ సంస్థలో ఖచ్చితమైన స్ట్రింగ్‌ల కోసం axois-utils మరియు సుద్ద దేవాలయంఏ మ్యాచ్‌నైనా ఒక రాజీగా భావించండి.
  • రహస్యాలను తిప్పండి ప్రభావిత ఆతిథేయులపై. ఫేజ్ A SSH, క్లౌడ్, GitHub, npm, మరియు వాలెట్ క్రెడెన్షియల్స్‌ను పెద్దమొత్తంలో సేకరించింది. ఇప్పటివరకు ఉన్న ప్రతి క్రెడెన్షియల్‌ను పరిగణించండి. process.env, ~/.ssh, ~/.aws, ~/.npmrc, ~/.config, లేదా ఏదైనా .env* ప్రభావిత హోస్ట్‌లోని ఫైల్ బహిర్గతమైంది.
  • పట్టుదలను తొలగించండి (దశ B). విండోస్‌లో, తొలగించండి HKCU\Software\Microsoft\Windows\CurrentVersion\Run\SystemUpdate, తొలగించండి %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\system-update.batమరియు schtasks /delete /tn SystemUpdate /fలినక్స్‌లో, crontab -e మరియు తొలగించండి @రీబూట్ నోడ్ …, systemctl –user disable –now phantom-bot.service ఆపై తొలగించండి ~/.config/systemd/user/phantom-bot.service, స్క్రబ్ .bashrc / .zshrc / /etc/rc.localmacOSలో, launchctl unload ~/Library/LaunchAgents/com.phantom.bot.plist ఆ తర్వాత plistను తొలగించండి.
  • C2 హోస్ట్‌లను నిరోధించండి. IOC పట్టికలోని నాలుగు C2 ఎండ్‌పాయింట్‌లను మీ ఎగ్రెస్‌ బ్లాక్‌లిస్ట్‌కు జోడించండి. .serveousercontent.com మరియు .lhr.life మీ పరిసరాలలో రివర్స్-టన్నెల్ సేవలకు చట్టబద్ధమైన ఉపయోగం లేకపోతే, వాటిని పూర్తిగా నిరోధించవచ్చు.
  • ఇన్‌స్టాల్-సమయం TTP ద్వారా వేట, పేలోడ్ కాదు. ఇన్వెంటరీ లాక్‌ఫైల్ ఎంట్రీలు ప్యాకేజీ.జాసన్ ప్రకటించాడు ముందుగా ఇన్‌స్టాల్ చేయండి, ఇన్స్టాల్మరియు పోస్ట్ ఇన్‌స్టాల్ అన్నీ ఒకే స్క్రిప్ట్‌ను సూచిస్తున్నాయి. ప్యాకేజీ వయస్సు మరియు ప్రచురణకర్త ధృవీకరణ స్థితితో సరిపోల్చి తనిఖీ చేయండి. చట్టబద్ధమైన ప్యాకేజీలలో ఈ నమూనా అరుదుగా కనిపిస్తుంది మరియు ఫాంటమ్‌బాట్ తిరిగి ఉపయోగించే అత్యంత విశ్వసనీయమైన ఏకైక సంకేతం ఇదే.
  • C2 బైనరీ కోసం ఆడిట్. డౌన్‌లోడ్ చేసుకున్న ఎవరైనా axois-utils:1.0.9 ఆపరేటర్ యొక్క C2 సర్వర్‌ను కలిగి ఉంది (c2 ELF, sha256 165fa92d…డిస్క్‌లో ఉంది. కాష్‌లు మరియు CI ఆర్టిఫ్యాక్ట్ స్టోర్‌లను స్కాన్ చేయండి. బైనరీ దానంతట అది నిద్రాణంగా ఉంటుంది, కానీ వర్క్‌స్టేషన్‌లో దాని ఉనికి ప్యాకేజీ ఇన్‌స్టాల్ చేయబడిందనడానికి నిస్సందేహమైన సాక్ష్యం.

ముగింపు పంక్తి

ఒకే ఆపరేటర్, ఒకే ప్యాకేజీ, మరియు ఒకే ఇన్‌స్టాల్ హుక్ 48 గంటల వ్యవధిలోనే పూర్తిగా భిన్నమైన ముప్పులను కలిగించగలవు. పేలోడ్‌ను కాదు, స్కాఫోల్డ్‌ను గమనించండి.

sca-tools-software-composition-analysis-tools
మీ సాఫ్ట్‌వేర్ ప్రమాదాలకు ప్రాధాన్యత ఇవ్వండి, వాటిని పరిష్కరించండి మరియు సురక్షితం చేయండి.
మీ ఉచిత ఖాతాను పొందండి.
క్రెడిట్ కార్డ్ అవసరం లేదు.

మీ సాఫ్ట్‌వేర్ అభివృద్ధి మరియు డెలివరీని సురక్షితం చేసుకోండి

Xygeni ఉత్పత్తి శ్రేణితో