flagrix-io/flagrix-detection-rules

GitHub: flagrix-io/flagrix-detection-rules

一个社区维护的开源威胁检测规则与恶意软件签名库,用于在 clone 或协作前识别 GitHub 上的恶意代码、供应链攻击和诈骗模式。

Stars: 0 | Forks: 0

# Flagrix 检测规则 社区维护的 [Flagrix](https://flagrix.io) 威胁检测规则 — 专为开发者设计的安全扫描器。 在你 clone 或协作之前,识别恶意代码、供应链攻击、诈骗模式以及可疑的 GitHub 配置。 ## 包含内容 | 路径 | 内容 | |------|----------| | `rules/github/repository.yaml` | YARA 风格模式:恶意软件特征、硬编码 secrets、后门、网络数据泄露、社会工程学 | | `rules/github/obfuscation.yaml` | 混淆技术检测(base64、hex、长行、eval 滥用) | | `rules/github/user-profile.yaml` | GitHub 账户分析的风险评分权重 + 阈值(编译进 `userProfileRules`,由扫描器实时调用) | | `packages/malicious-npm.yaml` | 已确认的恶意 npm 包(Lazarus Group、typosquat) | | `packages/malicious-pypi.yaml` | 已确认的恶意 PyPI 包 | | `hashes/known-bad.yaml` | 已知恶意文件的 SHA-256 哈希值 | ## 检测类别 该仓库涵盖 **13+ 个检测类别**: 1. **恶意软件特征** — Lazarus/BeaverTail/InvisibleFerret APT 模式 2. **混淆代码** — Base64、hex 字符串、eval 滥用、长行攻击 3. **硬编码 secrets** — AWS keys、GitHub tokens、Stripe keys、API keys 4. **可疑网络** — Discord webhooks、Telegram tokens、Pastebin URL、ngrok 隧道 5. **数据泄露** — 剪贴板访问、cookie 窃取、键盘记录器、表单数据窃取 6. **后门** — RCE endpoints、动态 require、硬编码认证绕过 7. **供应链攻击** — 恶意 postinstall 脚本、可执行文件下载 8. **可疑文件访问** — SSH/AWS 凭据读取、浏览器密码数据库访问 9. **加密货币挖矿** — CoinHive、stratum+tcp、XMRig、cryptonight 模式 10. **代码完整性** — 源码仓库中的压缩代码、缺失的 license/README 11. **社会工程学** — README 中的诱导紧迫感策略、安全绕过指令 12. **非英文注释** — 检测非英文代码注释(Lazarus 指标) 13. **用户资料风险** — 账号年龄、关注者模式、活动分析 ## Flagrix 如何使用这些规则 Flagrix 扩展会每 6 小时从此仓库获取一次 `signatures.json`。当你扫描 GitHub 仓库或用户资料时,扩展程序会在你的浏览器本地根据这些规则匹配你的目标 — 不会有任何数据离开你的设备。 `signatures.json` 是通过运行以下命令从规则、包和哈希 YAML 文件中编译生成的: ``` npm install npm run build ``` ## AI 声明 本项目利用 Claude AI 进行样板代码生成、测试套件扩展和优化。所有 AI 生成的代码在合并之前,都会经过人类维护者的严格审查、重构和验证。 ## 许可证 MIT — 可在你的安全工具中自由使用。感谢注明来源。 * [Flagrix](https://flagrix.io) 开源核心安全平台的一部分。*
标签:CISA项目, DAST, DNS 反向解析, IOC, IP 地址批量处理, StruQ, YARA, 云资产可视化, 威胁情报, 安全检测规则, 开发者工具, 恶意软件分析, 数据可视化, 文档安全, 暗色界面, 自动化攻击