# Axios Supply Chain Attack Scanner (check-all.ps1)

Tento skript slouží k rekurzivní detekci infikovaných verzí knihovny `axios` a přítomnosti doprovodného malwaru (RAT) v Node.js projektech i v celém systému Windows.

## Funkce skriptu
1.  **Globalni systemove kontroly**:
    *   Hledani Windows RAT (`wt.exe`) v `ProgramData`.
    *   Hledani podezrelych payloadu (`.vbs`, `.ps1`) v `%TEMP%`.
    *   Kontrola aktivnich spojeni na C2 server utocniku (`142.11.206.73`).
2.  **Rekurzivni skenovani projektu**:
    *   Vyhledani vsech `package.json` v aktualnim adresari a podadresarich.
    *   Kontrola verze axios v `package-lock.json` a `node_modules`.
    *   Detekce malwaroveho balicku `plain-crypto-js`.

## Jak spustit skript

### 1. Povoleni spousteni skriptu (Execution Policy)
PowerShell ve vychozim nastaveni casto blokuje spousteni nepodepsanych skriptu. Pokud se vam pri spusteni zobrazi chyba, musite povolit provadeni skriptu jednim z nasledujicich zpusobu:

#### Moznost A: Povoleni pouze pro aktualni okno (Doporuceno)
Tento prikaz povoli spousteni skriptu pouze v tomto konkretnim okne PowerShellu. Po zavreni okna se nastaveni vrati k puvodnimu.
```powershell
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
```

#### Moznost B: Povoleni pro celeho uzivatele (Trvale)
Tento prikaz povoli spousteni vasich vlastnich skriptu trvale.
```powershell
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
```

### 2. Samotne spusteni skeneru
Jakmile mate povolenou policy, muzete skript spustit v korenove slozce vaseho repozitare:
```powershell
.\check-all.ps1
```

Muzete take skenovat jinou slozku zadanim parametru `-Path`:
```powershell
.\check-all.ps1 -Path "C:\cesta\k\projektum"
```

## Co delat v pripade nalezene infekce?

Pokud skript oznaci projekt jako **INFIKOVANO**:
1.  **Oprava axios**: Uzamknete axios na bezpecnou verzi (napr. 1.14.0):
    ```bash
    npm install axios@1.14.0 --save-exact
    ```
2.  **Cistka**: Smazte slozku `node_modules` a soubor `package-lock.json`, pote znovu nainstalujte zavislosti:
    ```bash
    rm -r node_modules
    rm package-lock.json
    npm install
    ```
3.  **Zmena hesel**: Pokud byl projekt spusten v dobe, kdy byl infikovan, povazujte vsechna hesla, API klice a credentials v tomto projektu (nebo v systemovych promennych) za kompromitovana a **ihned je zmente**.

Pokud skript oznaci **SYSTEMOVE NAPADENI (RAT/C2)**:
*   Ihned odpojte pocitac od site.
*   Zalohujte dulezita data (pouze dokumenty, ne programy).
*   Provedte kompletnĂ­ reinstalaci operacniho systemu Windows.