xorjosh/ClipShield

GitHub: xorjosh/ClipShield

一款基于 Chrome 扩展的主动式 ClickFix 防御工具,通过剪贴板写入拦截和 DOM 威胁扫描在恶意载荷执行前将其阻断。

Stars: 0 | Forks: 0

# 🛡️ ClipShield (v1.1.0) **主动式 ClickFix 防御和保护** 在恶意剪贴板载荷被粘贴/执行之前将其阻止。 ## 仅客户端运行。零遥测。开源。 [![License: GPL-3.0](https://img.shields.io/badge/License-GPL_3.0-blue.svg)](https://www.gnu.org/licenses/gpl-3.0) [![Manifest V3](https://img.shields.io/badge/Manifest-V3-blue.svg)](#) [![Privacy](https://img.shields.io/badge/Privacy-Zero_Telemetry-mintgreen.svg)](#) ## ClipShield 的功能 ClipShield 是一个专注于阻止剪贴板驱动型社会工程攻击(包括 ClickFix 方式)的 Chrome/Edge Manifest V3 扩展。 它结合了: - **剪贴板写入拦截** 在页面的主世界(`navigator.clipboard.writeText`、`navigator.clipboard.write` 以及合成剪贴板事件滥用路径) - **后台检测引擎** 基于规则和启发式分析 - **DOM 威胁扫描** 用于检测虚假验证/更新/错误诱饵 - **警告 + 日志用户体验**(弹出窗口 + 警告页面 + 警报历史) ## 经验证的检测覆盖范围(当前代码库) 这些数字来源于当前源代码: - `background.js`(`DETECTION_RULES_MAP`)中的 **240 个基于规则的检测模式** - 共享信号中的 **142 个诱饵短语**(119 个专注于 ClickFix + 23 个通用) - 其他启发式信号用于: - 命令混淆和规范化(同形字/零宽度/脱字符/反引号变体) - 多阶段下载/解码/写入/执行链 - 碎片化/填充的有效载荷规避 - 合成剪贴板事件滥用 - 虚假 CAPTCHA/更新/错误页面行为 这意味着该项目更准确的描述是: - **240+ 条检测规则** - **140+ 个诱饵/社工短语** - **分层启发式和行为信号** ## 主要功能 - **写入前剪贴板保护** 在恶意内容被提交之前拦截并评估程序化剪贴板写入。 - **主世界 API 修补** 在 `document_start` 时运行于 `MAIN` 世界,以捕获真实的页面剪贴板调用。 - **ClickFix/LOLBAS 定向检测** 包含 PowerShell、cmd/LOLBAS、ms-appinstaller、UNC 阶段化、混淆加载器和 macOS 滥用模式。 - **DOM 威胁狩猎** MutationObserver 驱动的扫描可检测可疑的覆盖层/诱饵/脚本化复制链。 - **用户允许列表** 域名允许列表可通过选项进行用户编辑,并在运行时检查中生效。 - **保护开关** 弹出窗口包含开/关控制(`protectionEnabled`),并具有实时状态同步。 - **本地警报历史** 在本地存储最近的警报(`chrome.storage.local`,有上限的历史),以便在扩展内查看。 - **隐私优先** 扩展逻辑中不包含遥测或分析代码路径。 ## 架构(MV3) - **`background.js`**:服务工作者;核心分析引擎、警报、存储、允许列表/保护状态。 - **`content.js`**:DOM 扫描、页面内警告模态框、页面与后台之间的桥梁。 - **`page_inject.js`**:主世界剪贴板拦截和合成事件加固。 - **`offscreen.js`**:后台剪贴板工具 + 警报音频处理。 - **`shared_signals.js`**:共享诱饵短语集/正则表达式。 - **`popup.* / options.* / warning.*`**:UI、设置和警告界面。 ## 使用的权限 来自 `manifest.json`: - `clipboardRead`、`clipboardWrite`:剪贴板检查/清除流程 - `storage`:设置 + 本地警报历史 - `offscreen`:用于剪贴板/音频操作的后台文档 - `notifications`:桌面威胁通知 - `scripting`、`activeTab`:运行时脚本辅助 - `host_permissions: `:对访问页面的保护 ## 隐私 ClipShield 设计为本地优先操作: - 无分析/遥测管道 - 无远程日志后端 - 数据保留在扩展存储中(`chrome.storage.local` / `chrome.storage.sync`) ## 安装 - Chrome 网上应用店:待定 - Edge 加载项:待定 ## 已知范围 ClipShield 在防范剪贴板/社会工程交付链方面表现出色,但没有客户端扩展能保证 100% 预防。它应作为端点/浏览器安全控制的附加保护层使用。 ## 贡献 如果您发现新的诱饵文本、绕过方式或 LOLBAS 交易技巧: - 提交 issue - 提交 PR 项目:[https://github.com/xorjosh/ClipShield](https://github.com/xorjosh/ClipShield) ## 展示 image 由 **Josh Allman** 构建:[https://joshallman.co.uk](https://joshallman.co.uk)
标签:AMSI绕过, ClickFix攻击防护, DNS 反向解析, DOM扫描, Edge扩展, JavaScript安全, JSONLines, Manifest V3, 云计算, 前端安全, 剪贴板安全, 多模态安全, 威胁检测, 实时保护, 客户端安全, 开源安全工具, 恶意软件防护, 搜索语句(dork), 数据可视化, 浏览器扩展, 社交工程防御, 端点安全, 网络安全, 网络安全, 网络钓鱼防御, 自定义脚本, 补丁管理, 规则引擎, 逆向工程平台, 钓鱼防护, 隐私保护, 隐私保护, 零信任