axios-supply-chain-attack-check — axios 供应链攻击检测 — 快速检测和处理恶意axios版本和后门依赖
v1.0.0提供1分钟快速脚本,检测和处理前端项目中的恶意axios版本(1.14.1/0.30.4)和后门依赖(plain-crypto-js@4.2.1),适用于所有前端项目的安全应急。
0· 49·0 当前·0 累计
by 安全扫描
OpenClaw
安全
high confidence该技能的操作(扫描npm依赖项以查找特定的恶意版本并执行卸载/重新安装和清理)与其声明的目的相符;它不包含隐藏的网络端点或凭据窃取,但会执行您应该在运行前审查/备份的破坏性修复步骤。
评估建议
该脚本似乎做了它声称的事情,但它是入侵性的:它将卸载包,删除node_modules和锁文件,从网络重新安装依赖项,并删除主机上的特定文件。运行前:(1)审查脚本和其文件删除列表;(2)提交或备份您的存储库和锁文件,以便可以回滚;(3)考虑首先手动运行检测行(npm list ...)以确认发现;(4)如果可能,在安全环境(CI作业、dev容器或隔离机器)中运行修复;(5)了解npm install将联系注册表下载包,并且使用axios@latest可能会更新到不同的次要/主要版本——验证兼容性。如果您需要降低风险的诊断,请仅运行检查并在允许自动修复之前审查结果。...详细分析 ▾
✓ 用途与能力
脚本的检查(npm list axios,npm list plain-crypto-js)和修复步骤(npm uninstall,rm -rf node_modules 和锁文件,npm install,删除特定系统文件)直接支持检测和缓解已知的axios/plain-crypto-js供应链妥协。没有请求无关的凭据,二进制文件或服务。
ℹ 指令范围
指令仅限于运行包含的shell脚本,该脚本检查依赖树和特定系统路径。然而,脚本执行破坏性操作(卸载包,删除node_modules和锁文件,从网络重新安装,并删除文件系统路径,如/Library/Caches/com.apple.act.mond和/tmp/ld.py)。这些操作与修复一致,但有副作用,运行前需要适当的权限和备份。
✓ 安装机制
这是一个仅有指令的技能,没有安装规格;除了提供的脚本之外,安装程序不会将任何内容写入磁盘。低安装面风险。
✓ 凭证需求
没有请求环境变量、凭据或配置路径。脚本使用npm和文件系统操作,这些操作与检查和修复Node.js前端项目成比例。
✓ 持久化与权限
技能不请求持久/始终在线的存在,并不修改其他技能或系统范围的代理配置。它按需运行,并且不需要在执行脚本时用户授予的权限之外的任何提升的平台特权。
安全有层次,运行前请审查代码。
运行时依赖
无特殊依赖
版本
latestv1.0.02026/4/7
["发布axios供应链攻击检测技能的初始版本。","提供1分钟快速检测脚本,用于检测恶意axios版本(1.14.1/0.30.4)和相关供应链威胁。","适用于所有前端项目,快速检查依赖树并处理安全紧急情况。"]
● Pending
安装命令 点击复制
官方npx clawhub@latest install axios-supply-chain-attack-check
镜像加速npx clawhub@latest install axios-supply-chain-attack-check --registry https://cn.clawhub-mirror.com
技能文档
适用场景
适用于所有前端项目,当检测到前端项目依赖存在axios恶意版本(1.14.1/0.30.4)、plain-crypto-js@4.2.1后门依赖,或出现开发/构建环境异常外联、未知脚本执行时,立即执行本技能完成应急处置。紧急排查
依赖版本风险核查及处理
执行以下命令检查项目依赖树中是否存在风险版本:bash ./scripts/check-axios-risk.sh
数据来源:ClawHub ↗ · 中文优化:龙虾技能库
OpenClaw 技能定制 / 插件定制 / 私有工作流定制
免费技能或插件可能存在安全风险,如需更匹配、更安全的方案,建议联系付费定制