扫描报告
55 /100
aibtc
BTC挖矿自动化worker管理工具
未声明的npx远程代码执行结合自我免责的VirusTotal警告,构成阴影功能风险
谨慎使用
必须审核aibtc-worker源码方可使用;拒绝执行未经版本锁定的远程npm包
攻击链 4 步
◎
入口 用户执行aibtc run <address>触发skill
SKILL.md:1⬡
提权 handler.js通过npx --yes拉取并执行aibtc-worker远程包
handler.js:40⬡
提权 攻击者可在npm发布恶意版本,或通过Dependency Confusion注入Payload
N/A:N/A◉
影响 恶意aibtc-worker代码在用户环境中执行任意操作
N/A:N/A安全发现 4 项
| 严重性 | 安全发现 | 位置 |
|---|---|---|
| 高危 | 未声明的远程代码执行 代码执行 | handler.js:40-44 |
| 高危 | 自我免责的VirusTotal警告 文档欺骗 | SKILL.md:70-80 |
| 中危 | npm依赖无版本控制 供应链 | handler.js:40 |
| 中危 | 进程管理调用 敏感访问 | handler.js:72,80 |
| 资源类型 | 声明权限 | 推断权限 | 状态 | 证据 |
|---|---|---|---|---|
| 命令执行 | NONE | WRITE | ✗ 越权 | handler.js:40-44 spawn调用 |
| 文件系统 | NONE | WRITE | ✗ 越权 | handler.js:46-52 writeFileSync写入状态文件 |
| 网络访问 | NONE | READ | ✗ 越权 | npx --yes触发npm registry拉取远程包 |
4 项发现
中危 外部 URL 外部 URL
https://aibtc.work SKILL.md:17 中危 外部 URL 外部 URL
https://x.com/aibtc_ SKILL.md:18 中危 外部 URL 外部 URL
https://t.me/aibtcchat SKILL.md:19 中危 外部 URL 外部 URL
https://t.me/aibtc_ann SKILL.md:20 目录结构
3 文件 · 5.4 KB · 193 行 JavaScript 1f · 97L
Markdown 1f · 89L
JSON 1f · 7L
├─
_meta.json
JSON
├─
handler.js
JavaScript
└─
SKILL.md
Markdown
依赖分析 2 项
| 包名 | 版本 | 来源 | 已知漏洞 | 备注 |
|---|---|---|---|---|
aibtc-worker | latest | npm | 是 | 未版本锁定,通过npx动态拉取,存在供应链风险 |
child_process | builtin | Node.js | 否 | Node.js内置模块 |
安全亮点
✓ 代码结构简单,无复杂混淆
✓ 声称开源代码(github链接)
✓ 不直接读取环境变量或敏感文件