INFOKOM-KI/axios-compromise-scanners

# Axios 供应链扫描器 用于检测与 axios npm 包供应链攻击相关的入侵指标（IOC）的扫描工具。 ## 背景 这些扫描器基于 Google Cloud Threat Intelligence 关于朝鲜威胁行为者 (UNC1069/GTIG) 针对 axios npm 包的报告。该攻击涉及恶意软件包（如 `plain-crypto-js`）以及特定被篡改的 axios 版本。 ## 用法 ### 基础扫描 (`scan1.sh`) 执行常规安全扫描，检查以下内容： - 环境完整性问题 (NODE_OPTIONS, PATH 篡改) - 持久化机制 (LaunchAgents, Systemd units, crontab 条目) - 第二阶段 payload 文件 - 与 `sfrclak.com` 的活跃 C2 连接 - 包 lockfile 中的恶意条目 - 全局 npm/yarn/pnpm 包 ``` ./scan1.sh [path axiosnya] ``` 默认路径为 `$HOME`。脚本会在当前目录生成 JSON 报告 (`scan_report_YYYYMMDD_HHMMSS.json`)。 ### 取证扫描 (`scan2.sh`) 执行针对特定 UNC1069 指标的取证扫描： - 影子备份文件 (`package.md`) - 伪装成 Windows Terminal 的 PowerShell (`wt.exe`) - WAVESHAPER.V2 后门 payload - Windows/Linux 持久化机制 - 指向 C2 基础设施的 DNS 解析 - 针对 `plain-crypto-js` v4.2.1 的深度 lockfile 审计 ``` ./scan2.sh [path axiosnya] ``` ### 扩展扫描 (`scan3.sh`) 执行结合多项检查的综合扫描： - 文件系统 IOC 及 artifacts 扫描 (package-lock, node_modules, package.md) - 被篡改的 axios 版本检测 (1.14.1, 0.30.4) - 恶意软件包检测 (`plain-crypto-js`) - 第二阶段 payload 检查 (WAVESHAPER.V2) - Windows 伪装检测 (wt.exe 伪装为 PowerShell) - 网络及持久化检查 (DNS 解析, crontab) ``` ./scan3.sh [path axiosnya] ``` 默认路径为 `$HOME`。显示扫描持续时间，并在发现问题时提供修复步骤。 ## 需求 - Linux 或 macOS - Bash shell - 常用工具：`grep`, `find`, `sed`, `xargs`, `sha256sum` - 可选：`ss` 或 `netstat`（用于连接检查），`dig`（用于 DNS 检查） ## 输出 所有脚本在终端显示彩色输出： - `[!]` / `[!!!]` = 检测到问题（红色） - `[i]` = 信息（青色） - `[✓]` = 正常（绿色） `scan1.sh` 额外创建一个包含所有检测到问题的 JSON 报告文件。`scan3.sh` 显示扫描持续时间并提供具体的修复步骤。 ## 检测到的入侵指标 (IOC) | IOC 类型 | 描述 | |----------|-------------| | 恶意软件包 | `plain-crypto-js`, `axios@1.14.1`, `axios@0.30.4` | | C2 域名 | `sfrclak.com` | | C2 IP | `142.11.206.73` | | Payload 文件 | `/tmp/ld.py`, `/Library/Caches/com.apple.act.mond`, `/tmp/6202033.*` | | 持久化 | `MicrosoftUpdate.service`, `system.bat`, 可疑 LaunchAgents | ## 响应措施 如果发现问题： 1. 将受影响的主机从网络隔离 2. 移除恶意软件包：`npm uninstall plain-crypto-js` 3. 将 axios 重新安装至安全版本 (1.13.2 或 1.14.0) 4. 删除可疑文件及持久化机制 5. 轮换所有凭证 (API 密钥, SSH 密钥, token, 环境变量 secrets) 6. 检查审计日志以排查横向移动 ## 作者 NAuliajati (csirt@tangerangkota.go.id)

标签：AMSI绕过, Axios, C2通信, CIDR输入, Cilium, DNS 反向解析, DNS 解析, GNU通用公共许可证, Google Cloud Threat Intelligence, IOC扫描, IP 地址批量处理, Node.js, NPM, plain-crypto-js, UNC1069, WAVESHAPER, Webshell, 后门检测, 威胁检测, 库, 应急响应, 应用安全, 恶意软件, 持久化检测, 数字取证, 文档安全, 暗色界面, 朝鲜黑客, 网络安全, 自动化脚本, 软件完整性, 配置审计, 隐私保护