文章总结： 文档分析了供应链投毒事件中凭证泄露的严重危害，指出单纯清理木马而忽略凭证重置会导致内网持续失陷。文章列举了长期驻留权限、横向移动和供应链污染三大风险，并提供了包含检测抑制、根除、恢复、验证四阶段的应急响应SOP流程，强调重置失窃凭证是恢复阶段的关键措施。 综合评分： 85 文章分类： 供应链安全,应急响应,漏洞分析,安全运营,解决方案

清理完所有木马后，内网却失陷了

ThreatBook ThreatBook

微步在线

2026年4月15日 08:30 北京

在小说阅读器读本章

去阅读

算上Axios、Apifox和LiteLLM，最近已经发生太多大规模供应链投毒了。

很多安全人员都在忙着封禁C2，清理恶意文件，却忽略了最重要的一件事——关键凭证、密钥已经被拿走且无法挽回，因此重置这些资产，远比封域名、删文件更重要。

否则，我们得到的只是被清理干净的机器，失去的却可能是整个内网，甚至更多。

凭证泄露不重置危害很大

这还真不夸张。我们不妨回顾一下Apifox投毒事件中，微步发现的攻击者窃取对象。

目标非常明确：盗取关键凭证。其危害是非常严重的。

危害一：长期驻留权限

攻击者拿到AK/SK、浏览器保存的账密、shell命令历史中保存的凭证等，可以仿冒合法身份实现长期驻留，并不依赖远控木马。

危害二：从一台机器到“整个内网

攻击者利用SSH私钥、令牌横向跳转到其他机器、代码仓库、生产主机还有一堆集权系统，这时整个内网就等于失陷了。

危害三：“套娃式”供应链污染

攻击者通过Git凭证、npm令牌、SVN凭证，再次投毒代码仓库，那么后门可能会沿着供应链继续传导下去。

LiteLLM就是如此。攻击者篡改了CI/CD流水线上的漏扫工具Trivy，得以窃取其PyPI发布凭证并发布包含后门的版本，进一步污染下游项目及最终用户。

最近供应链投毒事件如此高发，很难说不是凭证失窃引发的多米诺骨牌效应。

根源来自于不可见

既然如此，凭证为什么还容易被忽略？根本问题在于，木马执行起来后的行为不可见，不知道有没有偷凭证，因此容易陷入误区。

误区一：恶意代码清理不干净，反复启动

尤其是比较隐蔽的持久化和驻留项，包括注册表、计划任务、系统服务、Rootkit等等，很难发现。比如我们只隔离了文件，木马很快就能重新执行起来，不停反复。

误区二：横移看不见，排查失陷有遗漏

横移的方法多种多样，如果缺乏必要的可见性，很容易发生遗漏。

误区三：不知道敏感数据失窃，或者了解的不全面

恶意代码加载起来后，很快就会将数据打包好回传至C2，很难第一时间发现。

此外，攻击者的目标数据非常多样，包括各类AK/SK、认证Token、密钥、shell命令历史记录中的各种临时密码，重置时很容易漏掉其中一部分。

供应链投毒事件响应的SOP

当然无论如何，在遭遇供应链投毒后，阻断网络通信、清除恶意代码，一直都是最高优先级的两件事，可以快速帮助我们抑制感染进一步扩散。

但具体怎么做，在微步MDR团队处理的数千起事件里，除了包含足够的可见性，还有一套通用SOP。

检测与抑制阶段：封禁IOC，排查、隔离受影响终端

（1）对于公开C2应迅速封禁，并在EDR、NDR、网关设备上，定位攻击有效期内的反连请求。比如针对Axios npm投毒，可在EDR中排查3月31日反连sfrclak.com的终端。

（2）通过被投毒的软件名称、版本号等，在桌管/软管上排查安装这些软件及相关依赖项目的终端。比如Axios被投毒导致OpenClaw也受到到影响，可以禁止OpenClaw的使用。

（3）对于隐藏比较深的项目，还可检查node_modules中的恶意包。

通过上述方法定位到的受影响终端，都应第一时间隔离。

根除阶段：清理恶意代码，将软件变更至安全版本

按照官方文档，将软件升级或回滚至安全的版本。同时排查清理所有恶意代码，实在难以清理的可以重装机器。但在重装之前，应尽可能抓取内存镜像和磁盘镜像，便于后续逆向与拓线。排查、清理对象包括但不限于：

（1）恶意样本及相关文件

可以根据恶意文件名，在EDR日志中检索对应的文件创建行为，确定不同失陷终端上的安装路径。文件可以手动删除，也可以通过EDR下发删除任务。

（2）注册表、系统服务、计划任务等驻留项

如发现木马清理不掉，一定要注意排查攻击者留下的驻留项，包括进程链中涉及的注册表修改、系统服务和计划任务创建以及Rootkit加载等，如存在应当一同清理。

（3）后渗透工具

重点监控异常创建的nmap、mimikatz、procdump等工具，这些常被攻击者用来端口扫描、窃密、提权等，便于开展后续渗透。

（4）新的未知C2

在排查过程中，一旦发现恶意代码反连新的非公开C2，也需要封禁，同时排查是否还有其他终端请求这个C2。

（5）横向移动

如果发现横向移动迹象，比如用PsExec在远程终端执行命令，wmic调用进程等，则需要在横移的机器重复上述排查清理动作。

不过横移远不止这些行为，利用失窃凭证进行的“合法化”横移，需要综合流量、终端以及服务器的日志排查，这里就不赘述了。

恢复阶段：排查敏感数据访问，重置失窃凭证

恶意代码清理完成后，经验证没有恶意活动的，就可以恢复正常使用了，但涉及到凭证窃取的事件，相关联的凭证一定要及时重置。

可以在EDR上检索恶意组件相关的敏感文件访问行为，确认凭证是否失窃。例如在Apifox投毒事件中，可以看到攻击者访问了这些文件（部分），其中包含的凭证需要重置。

如果无法确定失窃范围，或者担心其他潜在风险，应当扩大重置凭证的范围，默认攻击者所有目标凭证均已失窃。

验证阶段：对可能受影响的系统持续重点监测

（1）明确监测范围：重点监测失窃凭证关联的主机、核心业务系统、云服务、代码仓库等，尤其是“失陷发生后至凭证重置完成前”的时间段。

（2）重点监测行为：排查是否存在以下高风险行为——异地登录、未授权访问（权限异常提升、访问未授权资源）、异常API调用（高频调用、非业务时段调用）和账户创建。

结语

通过上述四步，绝大部分事件都能得到很好的处理。

当然，不同的事件细节差异很大，有的只投递了单纯的窃密后门，偷完就跑，不在终端上驻留；有的涉及到复杂的远控木马和强对抗手法，需要安全人员结合实际情况判断。

对于安全团队资源有限、希望提升响应效率的企业，可考虑微步MDR服务，由专业团队协助完成全流程应急响应与持续监控，降低供应链投毒风险。

联系微步

如需针对安全事件进行应急

请扫客服码沟通/电话咨询

↓↓↓

点此电话咨询

· END ·

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微步在线 ThreatBook ThreatBook《清理完所有木马后，内网却失陷了》