flagrix-io/flagrix-detection-rules
GitHub: flagrix-io/flagrix-detection-rules
一个社区维护的开源威胁检测规则与恶意软件签名库,用于在 clone 或协作前识别 GitHub 上的恶意代码、供应链攻击和诈骗模式。
Stars: 0 | Forks: 0
# Flagrix 检测规则
社区维护的 [Flagrix](https://flagrix.io) 威胁检测规则 — 专为开发者设计的安全扫描器。
在你 clone 或协作之前,识别恶意代码、供应链攻击、诈骗模式以及可疑的 GitHub 配置。
## 包含内容
| 路径 | 内容 |
|------|----------|
| `rules/github/repository.yaml` | YARA 风格模式:恶意软件特征、硬编码 secrets、后门、网络数据泄露、社会工程学 |
| `rules/github/obfuscation.yaml` | 混淆技术检测(base64、hex、长行、eval 滥用) |
| `rules/github/user-profile.yaml` | GitHub 账户分析的风险评分权重 + 阈值(编译进 `userProfileRules`,由扫描器实时调用) |
| `packages/malicious-npm.yaml` | 已确认的恶意 npm 包(Lazarus Group、typosquat) |
| `packages/malicious-pypi.yaml` | 已确认的恶意 PyPI 包 |
| `hashes/known-bad.yaml` | 已知恶意文件的 SHA-256 哈希值 |
## 检测类别
该仓库涵盖 **13+ 个检测类别**:
1. **恶意软件特征** — Lazarus/BeaverTail/InvisibleFerret APT 模式
2. **混淆代码** — Base64、hex 字符串、eval 滥用、长行攻击
3. **硬编码 secrets** — AWS keys、GitHub tokens、Stripe keys、API keys
4. **可疑网络** — Discord webhooks、Telegram tokens、Pastebin URL、ngrok 隧道
5. **数据泄露** — 剪贴板访问、cookie 窃取、键盘记录器、表单数据窃取
6. **后门** — RCE endpoints、动态 require、硬编码认证绕过
7. **供应链攻击** — 恶意 postinstall 脚本、可执行文件下载
8. **可疑文件访问** — SSH/AWS 凭据读取、浏览器密码数据库访问
9. **加密货币挖矿** — CoinHive、stratum+tcp、XMRig、cryptonight 模式
10. **代码完整性** — 源码仓库中的压缩代码、缺失的 license/README
11. **社会工程学** — README 中的诱导紧迫感策略、安全绕过指令
12. **非英文注释** — 检测非英文代码注释(Lazarus 指标)
13. **用户资料风险** — 账号年龄、关注者模式、活动分析
## Flagrix 如何使用这些规则
Flagrix 扩展会每 6 小时从此仓库获取一次 `signatures.json`。当你扫描 GitHub 仓库或用户资料时,扩展程序会在你的浏览器本地根据这些规则匹配你的目标 — 不会有任何数据离开你的设备。
`signatures.json` 是通过运行以下命令从规则、包和哈希 YAML 文件中编译生成的:
```
npm install
npm run build
```
## AI 声明
本项目利用 Claude AI 进行样板代码生成、测试套件扩展和优化。所有 AI 生成的代码在合并之前,都会经过人类维护者的严格审查、重构和验证。
## 许可证
MIT — 可在你的安全工具中自由使用。感谢注明来源。
* [Flagrix](https://flagrix.io) 开源核心安全平台的一部分。*
标签:CISA项目, DAST, DNS 反向解析, IOC, IP 地址批量处理, StruQ, YARA, 云资产可视化, 威胁情报, 安全检测规则, 开发者工具, 恶意软件分析, 数据可视化, 文档安全, 暗色界面, 自动化攻击