defender2 Security Report — Trusted | ClawSafe

5 /100

defender2

NPM恶意软件检测 - 扫描npm包和项目检测JavaScript恶意软件和供应链攻击

这是一个合法的 NPM 恶意软件检测工具，代码为防御性质，用于检测供应链攻击和已知恶意模式，未发现恶意行为。

Skill Namedefender2

Duration32.0s

Enginepi

✓

Safe to install

可安全使用。工具功能与声明一致，属于安全审计工具。

Findings 2 items

Severity	Finding	Location
Info	SKILL.md 文档可更精确 SKILL.md:46 行提及 'eval(atob())' 可被误解为工具会执行 base64 解码代码。实际这是检测规则定义（描述要检测什么恶意模式），不是工具行为。建议文档明确标注为'检测规则'。 `2. 恶意模式匹配 - 检测eval(atob())、Buffer.from()等危险代码模式` → 建议将检测规则描述与实际代码行为明确区分，如'检测规则：eval(atob())等危险代码模式'	`SKILL.md:46`
Info	硬编码 IOC 列表用于检测 scripts/pua.py:70-75 硬编码了已知恶意 IP (140.82.54.223) 和 C2 地址。这是行业标准威胁情报用法，用于检测而非发起攻击。 `IOC_IPS = ['140.82.54.223']` → 无需修改。这是防御性工具的标准做法。	`scripts/pua.py:70`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`READ`	`READ`	✓ Aligned	SKILL.md:11 'python pua.py <path>' - 仅读取指定路径文件
Network	`NONE`	`NONE`	—	scripts/pua.py:26-32 - 仅硬编码 IOC 列表用于匹配，无实际网络请求
Shell	`NONE`	`NONE`	—	代码中无 subprocess/os.system 调用

1 Critical 1 High 2 findings

🔒

Critical Encoded Execution Base64 编码执行（代码混淆）

eval(atob(

SKILL.md:46

📡

High IP Address 硬编码 IP 地址

140.82.54.223

scripts/pua.py:94

2 files · 14.1 KB · 396 lines

Python 1f · 346L Markdown 1f · 50L

├─ ▾ 📁 scripts

│ └─ 🐍 pua.py Python 346L · 12.7 KB

└─ 📝 SKILL.md Markdown 50L · 1.5 KB

✓ 纯防御性质的安全审计工具

✓ 无网络请求、无 shell 执行、无文件写入

✓ 代码结构清晰，IOC 列表用于匹配已知威胁

✓ 覆盖多种供应链攻击检测场景（PUA字符、恶意包名、C2地址、危险代码模式）

✓ 工具用途与声明一致，属于合法安全工具