axios-scanner

افحص لو جهازك اتأثر بهجوم axios npm supply chain. أمر واحد بس. مش محتاج تنزّل أي حاجة.

WINDOWS

افتح PowerShell والصق الأمر ده:

irm https://raw.githubusercontent.com/SufficientDaikon/axios-scanner/main/get.ps1 | iex

أو

نزّل ZIP واضغط مرتين على SCAN.bat

LINUX / MACOS

curl -fsSL https://raw.githubusercontent.com/SufficientDaikon/axios-scanner/main/axios-scanner.sh | bash

ايه اللي حصل؟

يوم 31 مارس 2026، أكاونت الـ npm بتاع المسؤول الرئيسي عن axios (114 مليون تحميل أسبوعياً) اتسرق. اتنشر نسختين فيهم Remote Access Trojan. الهجوم فضل شغّال حوالي 3 ساعات قبل ما يتكشف ويترجّع.

الهجوم حصل ازاي

npm install شغّال عادي

مشروعك بينزّل أحدث نسخة axios متوافقة مع الـ version range بتاعك (مثلاً ^1.14.0)

↓

axios@1.14.1 فيها الفايروس

النسخة الخبيثة مخبّية dependency اسمها: plain-crypto-js

↓

الـ postinstall script بيشتغل

plain-crypto-js بتشغّل setup.js فوراً بعد التنصيب — من غير ما تعمل أي حاجة

↓

الـ RAT بيتنزّل

السكريبت بيتّصل بـ sfrclak.com:8000 وبينزّل باب خلفي مخصص لنظام التشغيل بتاعك

↓

الهاكر بقى عنده صلاحيات كاملة

يشغّل أوامر، يسرق ملفات، يسحب credentials. وبعدين الفايروس بيمسح نفسه عشان يغطي أثره.

هتشوف ايه وهي شغّالة

الأداة بتعرض تقدّم مباشر طول الوقت. هتعرف دايماً إنها شغّالة ووصلت لفين.

PowerShell

............................................................ : : : HEADS UP: The full scan usually takes 1 - 5 minutes. : : It needs to look through many files on your computer. : : : : The screen will keep updating so you always know : : it's working. Just sit back and wait for the results. : :............................................................: 33% Step 2 of 6: Looking for the malicious dropper package [ ▶ ] Searching your files for axios (1,250 files checked, 14s elapsed) [ OK ] Done! Checked 3,847 files, found 2 match(es). (23.1s) [ OK ] Safe: axios 1.7.7 at C:\Users\you\project\node_modules\axios

الأداة بتفحص ايه

✓

كل نسخ axios

بتلاقي كل نسخة axios على جهازك وبتفحص لو أي واحدة فيهم هي النسخة الخبيثة (1.14.1 أو 0.30.4)

✓

حزمة الـ dropper

بتدوّر على حزمة "plain-crypto-js" الخبيثة وملفات setup.js مشبوهة جوه مجلدات axios

✓

ملفات الباب الخلفي

بتفحص لو الفايروس ساب ملفات على جهازك (wt.exe، 6202033.vbs، 6202033.ps1)

✓

اتصالات الشبكة

بتفحص لو جهازك اتصل بسيرفر الهاكر قبل كده (sfrclak.com / 142.11.206.73)

✓

آليات الثبات

بتفحص الـ scheduled tasks، برامج الـ startup، والـ registry لو الهاكر ساب حاجة ورا

✓

ملفات الـ lockfile

بتفحص package-lock.json و yarn.lock و pnpm-lock.yaml لو فيها reference للنسخ الخبيثة

لو الأداة قالت COMPROMISED

افصل الإنترنت فوراً

اشيل كابل الإيثرنت أو اقفل الـ Wi-Fi. ده أول حاجة تعملها.

شغّل الأداة تاني مع --fix

ده هيمسح الملفات الخبيثة اللي لقاها أوتوماتيك.

غيّر كل الباسوردات بتاعتك

الإيميل، GitHub، npm، خدمات السحابة، كل حاجة. الهاكر كان عنده صلاحيات كاملة على جهازك.

جدّد كل المفاتيح والـ tokens

مفاتيح SSH، API keys، npm tokens، GitHub PATs. الغيهم كلهم واعملهم من الأول.

راجع الـ git history بتاعك

دوّر على commits ماعملتهاش. راجع الـ CI/CD runs لو فيه deployments مش بتاعتك.

مؤشرات الاختراق (IOCs)

# Compromised packages axios@1.14.1 SHA-1: 2553649f2322049666871cea80a5d0d6adc700ca axios@0.30.4 SHA-1: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71 plain-crypto-js@4.2.1 SHA-1: 07d889e2dadce6f3910dcbc253317d28ca61c766 # C2 Infrastructure Domain: sfrclak.com IP: 142.11.206.73 Port: 8000 Path: /6202033 # RAT Artifacts (Windows) %PROGRAMDATA%\wt.exe %TEMP%\6202033.vbs %TEMP%\6202033.ps1