defender2 安全扫描报告 — 可信 | ClawSafe

5 /100

defender2

NPM恶意软件检测 - 扫描npm包和项目检测JavaScript恶意软件和供应链攻击

这是一个合法的 NPM 恶意软件检测工具，代码为防御性质，用于检测供应链攻击和已知恶意模式，未发现恶意行为。

技能名称defender2

分析耗时32.0s

引擎pi

✓

可以安装

可安全使用。工具功能与声明一致，属于安全审计工具。

安全发现 2 项

严重性	安全发现	位置
提示	SKILL.md 文档可更精确 SKILL.md:46 行提及 'eval(atob())' 可被误解为工具会执行 base64 解码代码。实际这是检测规则定义（描述要检测什么恶意模式），不是工具行为。建议文档明确标注为'检测规则'。 `2. 恶意模式匹配 - 检测eval(atob())、Buffer.from()等危险代码模式` → 建议将检测规则描述与实际代码行为明确区分，如'检测规则：eval(atob())等危险代码模式'	`SKILL.md:46`
提示	硬编码 IOC 列表用于检测 scripts/pua.py:70-75 硬编码了已知恶意 IP (140.82.54.223) 和 C2 地址。这是行业标准威胁情报用法，用于检测而非发起攻击。 `IOC_IPS = ['140.82.54.223']` → 无需修改。这是防御性工具的标准做法。	`scripts/pua.py:70`

资源类型	声明权限	推断权限	状态	证据
文件系统	`READ`	`READ`	✓ 一致	SKILL.md:11 'python pua.py <path>' - 仅读取指定路径文件
网络访问	`NONE`	`NONE`	—	scripts/pua.py:26-32 - 仅硬编码 IOC 列表用于匹配，无实际网络请求
命令执行	`NONE`	`NONE`	—	代码中无 subprocess/os.system 调用

1 严重 1 高危 2 项发现

🔒

严重编码执行 Base64 编码执行（代码混淆）

eval(atob(

SKILL.md:46

📡

高危 IP 地址硬编码 IP 地址

140.82.54.223

scripts/pua.py:94

2 文件 · 14.1 KB · 396 行

Python 1f · 346L Markdown 1f · 50L

├─ ▾ 📁 scripts

│ └─ 🐍 pua.py Python 346L · 12.7 KB

└─ 📝 SKILL.md Markdown 50L · 1.5 KB

✓ 纯防御性质的安全审计工具

✓ 无网络请求、无 shell 执行、无文件写入

✓ 代码结构清晰，IOC 列表用于匹配已知威胁

✓ 覆盖多种供应链攻击检测场景（PUA字符、恶意包名、C2地址、危险代码模式）

✓ 工具用途与声明一致，属于合法安全工具