Jumbalicious79/wormsign
GitHub: Jumbalicious79/wormsign
一款用 Go 编写的 macOS 只读主机安全扫描器,针对 Shai-Hulud 等恶意软件家族进行 IoC 检测与排查。
Stars: 0 | Forks: 0
# wormsign
[](https://github.com/Jumbalicious79/wormsign/actions/workflows/ci.yml)
[](https://pkg.go.dev/github.com/Jumbalicious79/wormsign)
[](https://goreportcard.com/report/github.com/Jumbalicious79/wormsign)
[](go.mod)
[](LICENSE)
适用于 macOS 的快速 Shai-Hulud / TeamPCP / megalodon IoC 检测工具。
这是一款使用纯 Go 编写的针对 Shai-Hulud 恶意软件家族的主机排查扫描程序。它会执行一次带有并行内容扫描的单一文件系统遍历,并且支持感知无数据状态——它永远不会触发 iCloud / Dropbox / OneDrive / Google Drive / Box 下载。该扫描是**只读**的:不会修改任何文件,不会执行权限提升命令,也不会抓取任何敏感值。
## 覆盖范围
- **Shai-Hulud V1**(2025 年 9 月 npm 攻击波)—— `bundle.js` 哈希检查、工作流文件存在性检查、内容字符串 grep 检索、外发域名检测
- **Shai-Hulud V2 / framework**(2025 年 11 月 + 2026 年 5 月开源版本发布)—— LaunchAgent 持久化、IDE 持久化(`tasks.json`、`~/.claude`)、C2 域名检测、framework 字符串 IoC
- **TeamPCP / V2.1**(2026 年 5 月)—— 受感染的 `durabletask` PyPI 版本、`rope.pyz` 第二阶段载荷、C2 域名、FIRESCALE 标记
- **环境指标**—— 明文 GitHub token(`ghp_`/`gho_`/`ghu_`/`ghs_`/`ghr_`)、凭证文件存在性检查
## 安装
```
go install github.com/Jumbalicious79/wormsign@latest
```
或者从源码构建(需要 Go 1.26+):
```
git clone https://github.com/Jumbalicious79/wormsign.git
cd wormsign
go build -o wormsign .
```
## 用法
```
wormsign # scan with defaults, write report to cwd
wormsign --output report.md # custom report path
wormsign --extra-root /Volumes/Backup # add scan root (repeatable)
wormsign --concurrency 16 # tune worker pool
```
运行 `wormsign --help` 获取完整的 flag 列表。
## 输出
在工作目录中生成一份名为 `wormsign--.md` 的 Markdown 报告,将所有检查结果总结为 ✅ 干净、❌ 命中或 ⚠️ 跳过。
如果记录到任何命中,退出代码将为非零值,因此 `wormsign` 可以作为 CI 步骤或群组管理检查的门控。
## 许可证
[MIT](LICENSE) © 2026 Buzz Hillestad
标签:DNS 反向解析, EVTX分析, Go, IoC扫描, IP 地址批量处理, Ruby工具, StruQ, 威胁情报, 开发者工具, 日志审计, 网络信息收集