From 203ab06955a779f781bb109db716cd33ceeb94c8 Mon Sep 17 00:00:00 2001 From: skrabanek Date: Wed, 1 Apr 2026 11:58:26 +0200 Subject: [PATCH] check.ps1 instructions --- axios.md | 61 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 61 insertions(+) create mode 100644 axios.md diff --git a/axios.md b/axios.md new file mode 100644 index 0000000..f5df77c --- /dev/null +++ b/axios.md @@ -0,0 +1,61 @@ +# Axios Supply Chain Attack Scanner (check-all.ps1) + +Tento skript slouží k rekurzivní detekci infikovaných verzí knihovny `axios` a přítomnosti doprovodného malwaru (RAT) v Node.js projektech i v celém systému Windows. + +## Funkce skriptu +1. **Globalni systemove kontroly**: + * Hledani Windows RAT (`wt.exe`) v `ProgramData`. + * Hledani podezrelych payloadu (`.vbs`, `.ps1`) v `%TEMP%`. + * Kontrola aktivnich spojeni na C2 server utocniku (`142.11.206.73`). +2. **Rekurzivni skenovani projektu**: + * Vyhledani vsech `package.json` v aktualnim adresari a podadresarich. + * Kontrola verze axios v `package-lock.json` a `node_modules`. + * Detekce malwaroveho balicku `plain-crypto-js`. + +## Jak spustit skript + +### 1. Povoleni spousteni skriptu (Execution Policy) +PowerShell ve vychozim nastaveni casto blokuje spousteni nepodepsanych skriptu. Pokud se vam pri spusteni zobrazi chyba, musite povolit provadeni skriptu jednim z nasledujicich zpusobu: + +#### Moznost A: Povoleni pouze pro aktualni okno (Doporuceno) +Tento prikaz povoli spousteni skriptu pouze v tomto konkretnim okne PowerShellu. Po zavreni okna se nastaveni vrati k puvodnimu. +```powershell +Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process +``` + +#### Moznost B: Povoleni pro celeho uzivatele (Trvale) +Tento prikaz povoli spousteni vasich vlastnich skriptu trvale. +```powershell +Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser +``` + +### 2. Samotne spusteni skeneru +Jakmile mate povolenou policy, muzete skript spustit v korenove slozce vaseho repozitare: +```powershell +.\check-all.ps1 +``` + +Muzete take skenovat jinou slozku zadanim parametru `-Path`: +```powershell +.\check-all.ps1 -Path "C:\cesta\k\projektum" +``` + +## Co delat v pripade nalezene infekce? + +Pokud skript oznaci projekt jako **INFIKOVANO**: +1. **Oprava axios**: Uzamknete axios na bezpecnou verzi (napr. 1.14.0): + ```bash + npm install axios@1.14.0 --save-exact + ``` +2. **Cistka**: Smazte slozku `node_modules` a soubor `package-lock.json`, pote znovu nainstalujte zavislosti: + ```bash + rm -r node_modules + rm package-lock.json + npm install + ``` +3. **Zmena hesel**: Pokud byl projekt spusten v dobe, kdy byl infikovan, povazujte vsechna hesla, API klice a credentials v tomto projektu (nebo v systemovych promennych) za kompromitovana a **ihned je zmente**. + +Pokud skript oznaci **SYSTEMOVE NAPADENI (RAT/C2)**: +* Ihned odpojte pocitac od site. +* Zalohujte dulezita data (pouze dokumenty, ne programy). +* Provedte kompletnĂ­ reinstalaci operacniho systemu Windows.