deobfuscating-javascript-malware

par mukul975

deobfuscating-javascript-malware aide les analystes à transformer du JavaScript malveillant fortement obfusqué en code lisible pour l’analyse de malwares, les pages de phishing, les web skimmers, les droppers et les charges utiles livrées via le navigateur. Utilisez ce skill de déobfuscation de malware JavaScript pour une déobfuscation structurée, le suivi des décodages et une revue contrôlée lorsque le simple minification n’est pas le problème.

Étoiles0

Favoris0

Commentaires0

Ajouté9 mai 2026

CatégorieMalware Analysis

Commande d’installation

npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill deobfuscating-javascript-malware

Score éditorial

Ce skill obtient 84/100, ce qui en fait une fiche solide pour les utilisateurs qui ont besoin d’aide pour déobfusquer du JavaScript malveillant. Le dépôt fournit suffisamment de détails sur le workflow, de scripts et de références de décodage pour qu’un agent puisse le déclencher et l’utiliser avec moins d’hésitation qu’avec un prompt générique, même s’il faut encore prévoir une part de traitement manuel pour les échantillons de malware les plus coriaces.

84/100

Points forts

Ciblage très précis du cas d’usage : il s’active explicitement pour les pages de phishing, les web skimmers, les scripts de dropper et d’autres scénarios d’analyse de malware JavaScript.
Support de workflow concret : le dépôt inclut un vrai script (`scripts/agent.py`) ainsi que des exemples de référence pour jsbeautifier, des motifs de décodage et un sandbox VM.
Bonne clarté opérationnelle : le contenu du skill est étoffé, structuré en plusieurs sections de workflow et comporte un avertissement clair indiquant de ne pas l’utiliser pour du code de production simplement minifié.

Points de vigilance

Aucune commande d’installation n’est fournie dans `SKILL.md`, donc les utilisateurs devront peut-être intégrer le skill manuellement à leur environnement.
Le workflow visible est utile, mais il reste en partie basé sur des références ; les chaînes d’obfuscation plus complexes peuvent donc exiger le jugement de l’agent au-delà des étapes documentées.

JavaScript Malware Deobfuscation Script Analysis Web Malware Node.js Python Browser Automation

Vue d’ensemble

Aperçu de la skill de déobfuscation de malware JavaScript

Ce que fait cette skill

La skill deobfuscating-javascript-malware vous aide à transformer du JavaScript malveillant fortement obfusqué en code lisible et exploitable pour l’analyse. Elle est conçue pour des travaux d’analyse de malware comme les pages de phishing, les web skimmers, les droppers et les payloads livrés via le navigateur, où l’objectif réel est de révéler la logique décodée, pas seulement de rendre le script plus joli.

À qui elle s’adresse

Utilisez la deobfuscating-javascript-malware skill si vous devez trier plus vite un JavaScript suspect et que vous voulez un chemin structuré pour passer de « cela semble caché » à « voici ce que cela fait réellement ». Elle convient bien aux analystes qui ont déjà un échantillon et ont besoin d’étapes pratiques de déobfuscation, pas d’une explication générique de la syntaxe JavaScript.

L’essentiel à retenir

La valeur principale, c’est l’accompagnement du workflow : d’abord embellir le code, puis déplier les encodages courants, ensuite examiner les chaînes eval, la construction de chaînes et les astuces de contrôle du flux, dans un environnement maîtrisé. La skill est surtout utile quand l’échantillon empile plusieurs couches d’obfuscation plutôt qu’une simple minification. Si le script n’est que compressé pour gagner de la place, ce n’est probablement pas le bon outil.

Comment utiliser la skill de déobfuscation de malware JavaScript

Installer et repérer les bons fichiers

Pour deobfuscating-javascript-malware install, ajoutez la skill avec :
npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill deobfuscating-javascript-malware

Commencez par SKILL.md, puis lisez references/api-reference.md pour les schémas de décodage et scripts/agent.py pour la logique que la skill attend de vous. Ces deux fichiers sont le moyen le plus rapide de comprendre quels types d’entrées la skill traite bien et où elle peut avoir besoin d’aide.

Donner à la skill un prompt complet d’analyse de malware

Le deobfuscating-javascript-malware usage fonctionne mieux si vous précisez le type d’échantillon, le contexte de livraison et la technique suspectée. Voici de bons exemples :

“Déobfusque un script de page de phishing qui utilise eval(atob(...)) et redirige vers une page de collecte d’identifiants.”
“Analyse ce skimmer e-commerce avec des appels imbriqués à String.fromCharCode() et unescape().”
“Réécris cette logique de dropper après décodage des échappements hexadécimaux et des wrappers de fonctions inline.”

Des demandes faibles comme “nettoie ce JS” donnent généralement un résultat superficiel, parce que la skill a besoin du contexte de menace pour savoir quoi préserver et quoi révéler.

Workflow conseillé pour une première analyse

Utilisez la skill dans cet ordre : embellissez l’échantillon, décodez les encodages de chaînes évidents, tracez les points d’exécution dynamique, puis inspectez le payload récupéré pour les appels réseau, les redirections, les écritures DOM et le chargement d’une seconde étape. Si l’échantillon dépend des API du navigateur, exécutez-le uniquement dans un sandbox ou une VM isolée. La skill donne ses meilleurs résultats quand vous collez le code obfusqué avec une courte note sur ce que vous avez déjà observé, par exemple des domaines suspects, des noms de fichiers ou des déclencheurs d’exécution.

FAQ sur la skill de déobfuscation de malware JavaScript

Est-ce réservé aux analystes malware ?

La deobfuscating-javascript-malware skill est d’abord destinée à l’analyse de malware. Elle peut aider pour des scripts suspects dans des enquêtes de phishing, des incidents de réponse à compromission et des cas de compromission web. Elle n’est pas pensée pour du refactoring JavaScript de production ordinaire.

En quoi est-elle différente d’un prompt classique ?

Un prompt classique peut embellir le code ou expliquer une couche d’obfuscation évidente. Cette skill est plus efficace quand l’échantillon comporte plusieurs couches, par exemple base64 + eval + dépaquetage basé sur le DOM. Le deobfuscating-javascript-malware guide vous donne une démarche reproductible plutôt qu’une réponse ponctuelle.

Les débutants peuvent-ils l’utiliser ?

Oui, si vous pouvez fournir le script et un peu de contexte. Vous n’avez pas besoin de connaître à l’avance toutes les techniques d’obfuscation, mais vous devez être précis sur la provenance de l’échantillon et sur la question à laquelle vous voulez une réponse. Les débutants obtiennent de meilleurs résultats en demandant « décoder et expliquer le chemin d’exécution » plutôt que « tout analyser ».

Quand ne faut-il pas l’utiliser ?

N’utilisez pas cette skill pour du code simplement minifié, des bundles de sites bénins ou les cas où vous avez seulement besoin de mise en forme. Si le problème principal est le bruit syntaxique, un beautifier suffit. Si l’échantillon est activement hostile ou inconnu, gardez l’exécution isolée et privilégiez d’abord l’analyse statique.

Comment améliorer la skill de déobfuscation de malware JavaScript

Fournissez les bonnes preuves

Les meilleurs résultats viennent des indices d’obfuscation précis que vous connaissez déjà : eval, atob, unescape, fromCharCode, les échappements hexadécimaux ou les écritures DOM. Si vous avez le fichier d’origine, un extrait tronqué et des indicateurs réseau observés, joignez-les ensemble. Cela aide la skill à se concentrer sur le vrai chemin de décodage au lieu de deviner.

Demandez la sortie dont vous avez besoin

La deobfuscating-javascript-malware skill fonctionne mieux quand vous définissez l’état final attendu. Demandez un script nettoyé, une trace de décodage étape par étape, un résumé comportemental en langage courant ou des indicateurs de compromission. Par exemple : “Décode cet échantillon et liste les URLs, les étapes du payload et le comportement de persistance ou de redirection.”

Surveillez les modes d’échec courants

Les ratés les plus fréquents sont la confiance excessive dans eval, l’arrêt après le simple embellissement du code et la perte de sens quand les variables sont renommées de façon trop agressive. Si le premier passage est incomplet, demandez un second passage centré sur les blocs encore encodés, les fonctions imbriquées ou les chaînes générées à l’exécution. Pour deobfuscating-javascript-malware for Malware Analysis, l’itération est normale : chaque passage doit réduire l’incertitude, pas seulement produire un code plus propre.

Notes et avis

Aucune note pour le moment

Partagez votre avis

Connectez-vous pour laisser une note et un commentaire sur cet outil.

0/10000

Derniers avis

Enregistrement...

Autres outils de cette catégorie

conducting-malware-incident-response

par mukul975

conducting-malware-incident-response aide les équipes de réponse aux incidents à trier les malwares suspectés, confirmer les infections, évaluer l’étendue de la propagation, contenir les endpoints et soutenir l’éradication puis la reprise. Le skill est conçu pour conducting-malware-incident-response dans des workflows de réponse aux incidents, avec des étapes étayées par les preuves, des décisions guidées par la télémétrie et des recommandations concrètes de confinement.

Incident Response

Favoris 0GitHub 0

analyzing-bootkit-and-rootkit-samples

par mukul975

analyzing-bootkit-and-rootkit-samples est une skill d’analyse de malware pour les investigations MBR, VBR, UEFI et rootkit. Utilisez-la pour examiner les secteurs de démarrage, les modules de firmware et les indicateurs anti-rootkit lorsque la compromission persiste sous la couche du système d’exploitation. Elle convient aux analystes qui ont besoin d’un guide pratique, d’un workflow clair et d’un triage fondé sur des preuves pour l’analyse de malware.

Malware Analysis

Favoris 0GitHub 6.2k

detecting-ransomware-encryption-behavior

par mukul975

detecting-ransomware-encryption-behavior aide les défenseurs à repérer un chiffrement de type ransomware grâce à l’analyse de l’entropie, à la surveillance des E/S fichiers et à des heuristiques comportementales. Ce skill convient à la réponse à incident, au réglage d’un SOC et à la validation red team lorsque vous devez détecter rapidement des changements massifs de fichiers, des rafales de renommage et une activité suspecte de processus.

Incident Response

Favoris 0GitHub 0

analyzing-powershell-empire-artifacts

par mukul975

La compétence analyzing-powershell-empire-artifacts aide les équipes de Security Audit à détecter les artefacts PowerShell Empire dans les journaux Windows grâce au Script Block Logging, aux schémas de lanceur Base64, aux IOC des stagers, aux signatures de modules et aux références de détection, pour le triage et la rédaction de règles.

Security Audit

Favoris 0GitHub 0

detecting-process-injection-techniques

par mukul975

detecting-process-injection-techniques aide à analyser les activités suspectes en mémoire, à valider les alertes EDR et à identifier le process hollowing, l’injection APC, le détournement de thread, le chargement réflexif et l’injection DLL classique pour les audits de sécurité et le triage de malwares.

Security Audit

Favoris 0GitHub 0

analyzing-macro-malware-in-office-documents

par mukul975

analyzing-macro-malware-in-office-documents aide les analystes malware à examiner du VBA malveillant dans des fichiers Word, Excel et PowerPoint, à décoder l’obfuscation et à extraire des IOC, les chemins d’exécution et la logique de préparation des charges utiles pour le triage de phishing, la réponse à incident et l’analyse de documents malveillants.

Malware Analysis

Favoris 0GitHub 0

analyzing-golang-malware-with-ghidra

par mukul975

analyzing-golang-malware-with-ghidra aide les analystes à rétroconcevoir des malwares compilés en Go dans Ghidra, avec des workflows pour la récupération des fonctions, l’extraction des chaînes, les métadonnées de build et la cartographie des dépendances. Le skill analyzing-golang-malware-with-ghidra est utile pour le triage de malware, la réponse à incident et les tâches de Security Audit qui exigent des étapes d’analyse pratiques, spécifiques à Go.

Security Audit

Favoris 0GitHub 0

analyzing-supply-chain-malware-artifacts

par mukul975

analyzing-supply-chain-malware-artifacts est un skill d’analyse malware pour remonter la piste de mises à jour trojanisées, de dépendances empoisonnées et d’altérations de pipeline de build. Utilisez-le pour comparer des artefacts fiables et suspects, extraire des indicateurs de compromission, évaluer l’étendue de l’incident et rédiger des conclusions avec moins d’incertitude.

Malware Analysis

Favoris 0GitHub 6.1k

analyzing-linux-kernel-rootkits

par mukul975

analyzing-linux-kernel-rootkits aide les workflows DFIR et de threat hunting à détecter les rootkits du noyau Linux grâce à des vérifications croisée avec Volatility3, des analyses rkhunter et une comparaison /proc vs /sys pour repérer les modules cachés, les syscalls détournés et les structures du noyau altérées. C’est un guide pratique analyzing-linux-kernel-rootkits pour le triage forensique.

Digital Forensics

Favoris 0GitHub 0

detecting-mimikatz-execution-patterns

par mukul975

detecting-mimikatz-execution-patterns aide les analystes à détecter l’exécution de Mimikatz à l’aide de patterns de ligne de commande, de signaux d’accès à LSASS, d’indicateurs binaires et d’artefacts mémoire. Utilisez cette installation du skill detecting-mimikatz-execution-patterns pour les audits de sécurité, la chasse et la réponse à incident, avec des modèles, des références et des indications de workflow.

Security Audit

Favoris 0GitHub 0

detecting-rootkit-activity

par mukul975

detecting-rootkit-activity est un skill d’analyse de malware conçu pour repérer des indices de rootkit, comme des processus masqués, des appels système détournés, des structures noyau modifiées, des modules cachés et des artefacts réseau dissimulés. Il s’appuie sur la comparaison croisée des vues et sur des contrôles d’intégrité pour aider à valider des hôtes suspects lorsque les outils standards ne concordent pas.

Malware Analysis

Favoris 0GitHub 6.2k

detecting-mobile-malware-behavior

par mukul975

La skill detecting-mobile-malware-behavior analyse les applications Android et iOS suspectes pour repérer les abus de permissions, l’activité à l’exécution, les indicateurs réseau et les schémas de type malware. Utilisez-la pour le triage, la réponse à incident et la détection du comportement des malwares mobiles dans des workflows d’audit de sécurité, avec une analyse mobile étayée par des preuves.

Security Audit

Favoris 0GitHub 6.1k

analyzing-ransomware-payment-wallets

par mukul975

analyzing-ransomware-payment-wallets est une compétence de blockchain forensics en lecture seule pour retracer les portefeuilles de paiement ransomware, suivre les mouvements de fonds et regrouper les adresses associées pour les audits de sécurité et la réponse aux incidents. Utilisez-la si vous disposez d’une adresse BTC, d’un hash de transaction ou d’un portefeuille suspect et que vous avez besoin d’un appui à l’attribution fondé sur des preuves.

Security Audit

Favoris 0GitHub 6.1k

analyzing-ransomware-encryption-mechanisms

par mukul975

Compétence d’analyse de malware dédiée à l’examen des mécanismes de chiffrement des ransomwares : identification du chiffrement, gestion des clés et faisabilité du déchiffrement. Utilisez-la pour inspecter AES, RSA, ChaCha20, les schémas hybrides et les failles d’implémentation susceptibles de permettre une récupération.

Malware Analysis

Favoris 0GitHub 6.1k

extracting-iocs-from-malware-samples

par mukul975

Guide du skill extracting-iocs-from-malware-samples pour l’analyse de malwares : extraire les hashes, IP, domaines, URLs, artefacts hôte et indices de validation à partir d’échantillons pour la threat intelligence et la détection.

Malware Analysis

Favoris 0GitHub 0

extracting-config-from-agent-tesla-rat

par mukul975

Compétence « extracting-config-from-agent-tesla-rat » pour l’analyse de malware : extraire la configuration .NET d’Agent Tesla, les identifiants SMTP/FTP/Telegram, les réglages du keylogger et les points de terminaison C2 avec un workflow reproductible.

Malware Analysis

Favoris 0GitHub 0