YAMRAJ13y/leaklens

GitHub: YAMRAJ13y/leaklens

LeakLens 将勒索软件泄密网站的公开元数据聚合为团伙、行业和国家维度的趋势仪表板，帮助 CTI 分析师快速把握攻击态势。

Stars: 0 | Forks: 0

# LeakLens 🔦 [![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/d85ce4d679202101.svg)](https://github.com/YAMRAJ13y/leaklens/actions/workflows/ci.yml) [![Python](https://img.shields.io/badge/python-3.9%2B-blue.svg)](https://www.python.org/) [![License: MIT](https://img.shields.io/badge/license-MIT-green.svg)](LICENSE) [![data: ransomware.live](https://img.shields.io/badge/data-ransomware.live-red.svg)](https://www.ransomware.live/) 勒索软件团伙每天都会在其泄密网站上发布受害者的信息。单看每条信息只是噪音，但汇总起来就成了情报——谁最活跃，哪些行业和国家正在受到攻击，以及某个团伙何时开始激增。LeakLens 将这些数据进行聚合，并将其转化为 CTI 分析师可以据以行动的直观仪表板。它可以在**零依赖的情况下基于内置快照离线运行**；`--live` 则会从 **ransomware.live 的免费、无需密钥的 API** 获取当前的数据源。 ``` git clone https://github.com/YAMRAJ13y/leaklens && cd leaklens python -m leaklens report # offline sample python -m leaklens report --live # current data from ransomware.live ``` ## ⚡ 界面展示 ``` # LeakLens — Ransomware Leak-Site 情报 Source: offline sample 2026-06-15 · Period: 2026-01-01 … 2026-06-27 Victims: 70 · Active groups: 10 Most active group: Qilin (16) · Busiest month: 2026-05 (17) ## 热门组织 Qilin ██████████████████████████ 16 Akira ████████████████████ 12 RansomHub ███████████████ 9 Play ███████████ 7 Cl0p ██████████ 6 ## 热门国家 US ██████████████████████████ 19 GB ████████████ 9 DE ███████ 5 ``` `--json` 会输出适合用于 pipeline 的结构化数据；`--llm` 则会添加一段由 Claude 生成的 2-4 句的每周情报简报。 ## 🎯 为什么这很重要 2025 到 2026 年间，勒索软件攻击达到了一种频发的“新常态”，头部团伙之间出现了严重的整合。追踪*谁*正在激增以及他们青睐*哪些行业*是 CTI 的核心工作——而将原始数据源转化为趋势分析正是本项目所展示的分析师技能。它与 [IOCForge](https://github.com/YAMRAJ13y/iocforge)（指标富化）互补，完善了作品集中威胁情报方面的布局。 ## 🔧 用法 ``` python -m leaklens report # bundled offline snapshot, markdown python -m leaklens report --live # live ransomware.live feed (keyless) python -m leaklens report --json --top 15 # structured output, more rows python -m leaklens report victims.csv # your own export (.json or .csv) ``` 输入记录使用 `group`、`sector`（或 `activity`）、`country` 和 `date` 字段（其他 ransomware.live 的字段名如 `attackdate` / `victim` 会被自动映射）。可选的情报简报功能需要安装 `pip install -e ".[llm]"` 并配置 `ANTHROPIC_API_KEY`。 ## ✅ 测试与 CI ``` ruff check . # lint pytest -q # analytics correctness, field mapping, dashboard serialization ``` GitHub Actions 会在 Python 3.10–3.13 环境下运行 lint 和测试，并对仪表板进行冒烟测试——全部离线进行，无需任何密钥。使用 `python scripts/build_sample.py` 可以重新生成示例数据。 ## 🚧 路线图 - [ ] 当某个团伙的周计数相比其移动平均值激增时发出异常警报 - [ ] 为特定行业进行行业风险评分 - [ ] 将团伙映射到 MITRE ATT&CK TTPs - [ ] 定时刷新 + 托管的静态仪表板 - [ ] 将受害者信息与 [IOCForge](https://github.com/YAMRAJ13y/iocforge) 交叉比对，以查找关联的基础设施 ## ⚠️ 免责声明与道德准则 LeakLens 仅分析**已公开的、预结构化**的泄密网站元数据（团伙、行业、国家、日期），用于防御性的趋势分析——它不会爬取、托管或重新发布被盗的受害者数据。内置的 `data/sample_victims.json` 是**合成的模拟数据**；使用 `--live` 获取真实数据，并请遵守 ransomware.live 的服务条款。 ## 📄 许可证 [MIT](LICENSE) © 2026 Yamraj ([@YAMRAJ13y](https://github.com/YAMRAJ13y))

标签：DLL 劫持, ESC4, OSINT, Python, 勒索软件, 大语言模型, 威胁情报, 安全, 安全规则引擎, 开发者工具, 无后门, 超时处理, 逆向工具