skrabanek
2 weeks ago
1 changed files with 61 additions and 0 deletions
@ -0,0 +1,61 @@ |
|||
# Axios Supply Chain Attack Scanner (check-all.ps1) |
|||
|
|||
Tento skript slouží k rekurzivní detekci infikovaných verzí knihovny `axios` a přítomnosti doprovodného malwaru (RAT) v Node.js projektech i v celém systému Windows. |
|||
|
|||
## Funkce skriptu |
|||
1. **Globalni systemove kontroly**: |
|||
* Hledani Windows RAT (`wt.exe`) v `ProgramData`. |
|||
* Hledani podezrelych payloadu (`.vbs`, `.ps1`) v `%TEMP%`. |
|||
* Kontrola aktivnich spojeni na C2 server utocniku (`142.11.206.73`). |
|||
2. **Rekurzivni skenovani projektu**: |
|||
* Vyhledani vsech `package.json` v aktualnim adresari a podadresarich. |
|||
* Kontrola verze axios v `package-lock.json` a `node_modules`. |
|||
* Detekce malwaroveho balicku `plain-crypto-js`. |
|||
|
|||
## Jak spustit skript |
|||
|
|||
### 1. Povoleni spousteni skriptu (Execution Policy) |
|||
PowerShell ve vychozim nastaveni casto blokuje spousteni nepodepsanych skriptu. Pokud se vam pri spusteni zobrazi chyba, musite povolit provadeni skriptu jednim z nasledujicich zpusobu: |
|||
|
|||
#### Moznost A: Povoleni pouze pro aktualni okno (Doporuceno) |
|||
Tento prikaz povoli spousteni skriptu pouze v tomto konkretnim okne PowerShellu. Po zavreni okna se nastaveni vrati k puvodnimu. |
|||
```powershell |
|||
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process |
|||
``` |
|||
|
|||
#### Moznost B: Povoleni pro celeho uzivatele (Trvale) |
|||
Tento prikaz povoli spousteni vasich vlastnich skriptu trvale. |
|||
```powershell |
|||
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser |
|||
``` |
|||
|
|||
### 2. Samotne spusteni skeneru |
|||
Jakmile mate povolenou policy, muzete skript spustit v korenove slozce vaseho repozitare: |
|||
```powershell |
|||
.\check-all.ps1 |
|||
``` |
|||
|
|||
Muzete take skenovat jinou slozku zadanim parametru `-Path`: |
|||
```powershell |
|||
.\check-all.ps1 -Path "C:\cesta\k\projektum" |
|||
``` |
|||
|
|||
## Co delat v pripade nalezene infekce? |
|||
|
|||
Pokud skript oznaci projekt jako **INFIKOVANO**: |
|||
1. **Oprava axios**: Uzamknete axios na bezpecnou verzi (napr. 1.14.0): |
|||
```bash |
|||
npm install axios@1.14.0 --save-exact |
|||
``` |
|||
2. **Cistka**: Smazte slozku `node_modules` a soubor `package-lock.json`, pote znovu nainstalujte zavislosti: |
|||
```bash |
|||
rm -r node_modules |
|||
rm package-lock.json |
|||
npm install |
|||
``` |
|||
3. **Zmena hesel**: Pokud byl projekt spusten v dobe, kdy byl infikovan, povazujte vsechna hesla, API klice a credentials v tomto projektu (nebo v systemovych promennych) za kompromitovana a **ihned je zmente**. |
|||
|
|||
Pokud skript oznaci **SYSTEMOVE NAPADENI (RAT/C2)**: |
|||
* Ihned odpojte pocitac od site. |
|||
* Zalohujte dulezita data (pouze dokumenty, ne programy). |
|||
* Provedte kompletnĂ reinstalaci operacniho systemu Windows. |
|||
Loading…
Reference in new issue