meltedinhex/detections

# Melted in Hex — 检测 开放检测覆盖范围（YARA、Sigma、KQL）以及在 [meltedinhex.com](https://meltedinhex.com) 上分析的恶意软件活动的 IOC。 每个活动都位于其独立的文件夹中，包含一个简短的 README、规则以及机器可读的 IOC 列表。这里的所有内容均源自实际操作分析，并与公开 报告进行了交叉比对 —— 请参阅每个活动 README 中链接的分析文章以了解完整的推理过程。 ## 活动 | 活动 | 家族 / 波次 | 类型 | 分析文章 | |---|---|---|---| | [`nhmpy-hades-pypi`](./nhmpy-hades-pypi/) | 沙丘魔虫类 · 哈迪斯波次 | PyPI 供应链凭证蠕虫 | [揭开沙虫的面纱](https://meltedinhex.com/posts/shai-hulud-nhmpy-pypi/) | | [`polinrider-blockchain-loader`](./polinrider-blockchain-loader/) | PolinRider · DPRK / Lazarus | npm 区块链死信加载器 (EtherHiding) | [区块链上的死信](https://meltedinhex.com/posts/polinrider-blockchain-dead-drop-npm/) | ## 布局 ``` detections/ ├── README.md ├── LICENSE ├── CONTRIBUTING.md └── / ├── README.md # context + how to use these rules ├── yara/*.yar # static + decoded-content rules ├── sigma/*.yml # portable SIEM/EDR logic ├── kql/*.kql # Microsoft Defender / Sentinel └── iocs/ ├── iocs.csv # machine-readable (plain values) └── iocs.json # machine-readable (plain values) ``` ## 使用这些规则 - **YARA** — `yara /yara/.yar `。阅读每条规则的 `meta` 以了解适用范围；某些 规则仅匹配 *解码后* 的内容（请针对内存/解压后的字符串运行，而非原始工件）。 - **Sigma** — 使用 [`sigma-cli`](https://github.com/SigmaHQ/sigma-cli) / [pySigma](https://github.com/SigmaHQ/pySigma) 转换至你的后端。 - **KQL** — 粘贴到 Microsoft Defender for Endpoint Advanced Hunting 或 Sentinel 中；调整 时间窗口，并排除已确认合法使用该标记工具的主机。 ## 许可证 检测内容基于 [MIT](./LICENSE) 协议发布 —— 可自由使用、改编和重新分发。 感谢注明来源，但这并非必须。 ## 贡献 欢迎改进、误报报告以及新的转换（Sigma 后端、Splunk、Elastic） — 请参阅 [CONTRIBUTING.md](./CONTRIBUTING.md)。

标签：IP 地址批量处理, YARA, 云资产可视化, 威胁情报, 开发者工具, 攻防检测, 文档安全, 网络信息收集, 逆向工具, 配置审计