skrabanek
2 weeks ago
1 changed files with 61 additions and 0 deletions
@ -0,0 +1,61 @@ |
|||||
|
# Axios Supply Chain Attack Scanner (check-all.ps1) |
||||
|
|
||||
|
Tento skript slouží k rekurzivní detekci infikovaných verzí knihovny `axios` a přítomnosti doprovodného malwaru (RAT) v Node.js projektech i v celém systému Windows. |
||||
|
|
||||
|
## Funkce skriptu |
||||
|
1. **Globalni systemove kontroly**: |
||||
|
* Hledani Windows RAT (`wt.exe`) v `ProgramData`. |
||||
|
* Hledani podezrelych payloadu (`.vbs`, `.ps1`) v `%TEMP%`. |
||||
|
* Kontrola aktivnich spojeni na C2 server utocniku (`142.11.206.73`). |
||||
|
2. **Rekurzivni skenovani projektu**: |
||||
|
* Vyhledani vsech `package.json` v aktualnim adresari a podadresarich. |
||||
|
* Kontrola verze axios v `package-lock.json` a `node_modules`. |
||||
|
* Detekce malwaroveho balicku `plain-crypto-js`. |
||||
|
|
||||
|
## Jak spustit skript |
||||
|
|
||||
|
### 1. Povoleni spousteni skriptu (Execution Policy) |
||||
|
PowerShell ve vychozim nastaveni casto blokuje spousteni nepodepsanych skriptu. Pokud se vam pri spusteni zobrazi chyba, musite povolit provadeni skriptu jednim z nasledujicich zpusobu: |
||||
|
|
||||
|
#### Moznost A: Povoleni pouze pro aktualni okno (Doporuceno) |
||||
|
Tento prikaz povoli spousteni skriptu pouze v tomto konkretnim okne PowerShellu. Po zavreni okna se nastaveni vrati k puvodnimu. |
||||
|
```powershell |
||||
|
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process |
||||
|
``` |
||||
|
|
||||
|
#### Moznost B: Povoleni pro celeho uzivatele (Trvale) |
||||
|
Tento prikaz povoli spousteni vasich vlastnich skriptu trvale. |
||||
|
```powershell |
||||
|
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser |
||||
|
``` |
||||
|
|
||||
|
### 2. Samotne spusteni skeneru |
||||
|
Jakmile mate povolenou policy, muzete skript spustit v korenove slozce vaseho repozitare: |
||||
|
```powershell |
||||
|
.\check-all.ps1 |
||||
|
``` |
||||
|
|
||||
|
Muzete take skenovat jinou slozku zadanim parametru `-Path`: |
||||
|
```powershell |
||||
|
.\check-all.ps1 -Path "C:\cesta\k\projektum" |
||||
|
``` |
||||
|
|
||||
|
## Co delat v pripade nalezene infekce? |
||||
|
|
||||
|
Pokud skript oznaci projekt jako **INFIKOVANO**: |
||||
|
1. **Oprava axios**: Uzamknete axios na bezpecnou verzi (napr. 1.14.0): |
||||
|
```bash |
||||
|
npm install axios@1.14.0 --save-exact |
||||
|
``` |
||||
|
2. **Cistka**: Smazte slozku `node_modules` a soubor `package-lock.json`, pote znovu nainstalujte zavislosti: |
||||
|
```bash |
||||
|
rm -r node_modules |
||||
|
rm package-lock.json |
||||
|
npm install |
||||
|
``` |
||||
|
3. **Zmena hesel**: Pokud byl projekt spusten v dobe, kdy byl infikovan, povazujte vsechna hesla, API klice a credentials v tomto projektu (nebo v systemovych promennych) za kompromitovana a **ihned je zmente**. |
||||
|
|
||||
|
Pokud skript oznaci **SYSTEMOVE NAPADENI (RAT/C2)**: |
||||
|
* Ihned odpojte pocitac od site. |
||||
|
* Zalohujte dulezita data (pouze dokumenty, ne programy). |
||||
|
* Provedte kompletnĂ reinstalaci operacniho systemu Windows. |
||||
Loading…
Reference in new issue