jwghwow/axios-sigma-detection

# Axios 供应链攻击检测 — Sigma 规则集 此仓库包含一个**基于 Sigma 的检测包**，用于识别与 **2026 年 3 月 Axios npm 供应链攻击事件**相关的行为。 本项目的目标是展示**行为检测工程**，而不仅仅是 IOC 匹配——重点关注攻击是如何在进程、网络和文件活动中实际运作的。 ## 🧠 攻击概述 2026 年 3 月，流行的 npm 包 Axios 的恶意版本被短暂发布并传播。 这些版本： - 在包安装期间执行了 **`postinstall` 脚本** - 使用 Node.js API 进行了 **OS 指纹识别** - 下载了**特定平台的 payload** - 建立了与攻击者控制的基础设施的出站通信 - 在执行后尝试了**反取证清理** 这次攻击是**软件供应链攻击**的一个典型例子。 ## 🎯 检测理念 此规则集旨在检测**行为链**，而不仅仅是静态指标。 而不是仅依赖于： - IP 地址 - 域名 - 包名 这些规则可检测： 这种方法对以下情况更具弹性： - 基础设施变更 - 混淆 - 变种攻击 ## 📁 仓库结构 ``` sigma/ ├── axios_install_chain.yml ├── axios_c2_detection.yml ├── axios_payload_artifacts.yml ├── axios_os_fingeprinting.yml ├── axios_install_network.yml └── axios_self_delete.yml ``` 每条规则都侧重于攻击链的特定阶段。 ## 🔍 这些规则能检测到什么 ### 1. 安装时执行滥用 - Node/npm 生成 shell 或脚本引擎 - 滥用 `postinstall` 钩子 ### 2. OS 指纹识别行为 - 访问系统身份信息的 Node 进程 ### 3. 可疑进程执行 - 从 Node 启动的 PowerShell、Python、bash 或脚本引擎 ### 4. 网络活动 - 安装阶段的出站连接 - 已知的攻击活动基础设施： - `sfrclak[.]com` - `142.11.206.73` - TCP 端口 `8000` ### 5. Payload 痕迹 - 攻击活动使用的已知文件路径： - `/tmp/ld.py` - `%PROGRAMDATA%\wt.exe` - `/Library/Caches/com.apple.act.mond` ### 6. 反取证行为 - 删除或修改 `node_modules` 内容 ## 🧩 什么是 Sigma？ Sigma 是一种用于描述安全检测的独立于平台的规则格式。 Sigma 规则： - 定义**可疑行为的具体表现** - 可转换为 SIEM 平台的查询语句，例如： - Microsoft Sentinel - Splunk - Elastic Security ## 🔄 如何使用这些规则 ### 1. 将 Sigma 转换为 SIEM 查询 使用 Sigma 转换器： ``` sigmac -t sentinel rule.yml ``` 或者针对 Splunk： ``` sigmac -t splunk rule.yml ``` ### 2. 在您的 SIEM 中部署 - 将转换后的查询导入到您的 SIEM 中 - 根据您的环境进行调整 - 根据需要设置警报阈值和抑制规则 ### 3. 验证检测覆盖范围 针对以下情况进行测试： - npm install 活动 - 基于 Node 的应用程序 - 攻击链的实验室模拟 ## 🛡️ MITRE ATT&CK 映射 | 技术 | 描述 | |------------|-------------------------------------| | T1195.002 | 供应链攻击 | | T1059 | 命令和脚本解释器 | | T1105 | 入侵工具传输 | | T1082 | 系统信息发现 | ## ⚠️ 重要提示 - 这些规则被标记为**实验性** - 某些检测可能会产生**误报** - 需要针对特定环境进行调整 - 有效性取决于可用的遥测数据： - 进程创建日志 - 网络连接日志 - 文件活动日志 ## 🔧 推荐的日志来源 为了获得最佳效果，请确保对以下内容具有可见性： - 进程创建事件（例如，Sysmon Event ID 1） - 网络连接（例如，Sysmon Event ID 3） - 文件创建/修改（例如，Sysmon Event ID 11） ## 🎯 使用场景 - 检测工程实验室 - SIEM 规则开发 - 供应链威胁检测研究 - 蓝队培训和模拟 - 安全项目组合 ## 🧑‍💻 作者 **JT Wilson** ## 📚 参考资料 - https://snyk.io/blog/axios-npm-package-compromised-supply-chain-attack-delivers-cross-platform/ ## 📜 免责声明 这些规则基于有关 Axios 供应链攻击的公开信息。 它们仅用于教育和防御目的，在生产使用前应进行验证和调整。

标签：2026年攻击事件, Axios, C2通信, DNS 反向解析, IOC, IP 地址批量处理, Node.js安全, npm, OpenCanary, OS指纹识别, postinstall, Sigma规则, Web安全, 供应链攻击, 反取证, 命令与控制, 安全规则包, 安全评估, 安装脚本滥用, 库, 应急响应, 恶意载荷, 文档安全, 无线安全, 目标导入, 网络安全, 网络流量分析, 蓝队分析, 行为检测, 软件供应链安全, 远程方法调用, 隐私保护