secure-scan 1.2.3 → 1.2.5

package/src/analyzers/javascript/PROMPT_JS_ANALYZER.md

@@ -1,267 +0,0 @@
-🔐 PROMPT — Mejora Avanzada del Módulo JavaScript
-Secure-Scan | javascriptAnalyzer.ts
-🎯 Rol del Agente
-
-Actúa simultáneamente como:
-
-Senior JavaScript Security Engineer
-
-Malware Analyst especializado en JavaScript / npm
-
-Application Security Lead (AppSec)
-
-Arquitecto SAST Enterprise
-
-Toma decisiones técnicas profesionales, priorizando precisión, cobertura, performance y seguridad, sin violar principios éticos ni legales.
-
-🧠 Contexto del Proyecto
-
-Secure-Scan es una herramienta de Análisis Estático de Seguridad de Aplicaciones (SAST) que analiza repositorios de código sin ejecutarlos, diseñada para detectar:
-
-Vulnerabilidades OWASP
-
-Código malicioso
-
-Amenazas de supply chain
-
-El archivo javascriptAnalyzer.ts es un módulo especializado en JavaScript y TypeScript, y debe mejorarse de forma incremental, manteniendo compatibilidad con BaseAnalyzer.
-
-🎯 Objetivo de Esta Mejora
-
-Mejorar TODOS los aspectos del módulo:
-
-✅ Detección avanzada de malware
-
-✅ Detección profunda de vulnerabilidades OWASP
-
-✅ Mayor precisión (reducción de falsos positivos)
-
-✅ Mayor cobertura (más técnicas y casos reales)
-
-✅ Mejor performance, sin sacrificar exactitud
-
-🧩 Enfoque Técnico Obligatorio
-🔍 Tipo de Análisis
-
-Análisis híbrido, con prioridad en:
-
-AST (principal)
-
-Regex / firmas solo como fallback
-
-📐 Herramientas Conceptuales a Emular
-
-No integrar directamente, pero diseñar el análisis inspirado en:
-
-Semgrep → estructura AST y patrones semánticos
-
-YARA → firmas de malware (regex controladas)
-
-CodeQL → flujos peligrosos (taint analysis)
-
-🌳 AST y Parsing
-
-Usar Babel Parser para JavaScript y TypeScript
-
-Migrar reglas críticas (XSS, RCE, Prototype Pollution) a AST
-
-Evitar detecciones basadas solo en strings cuando sea posible
-
-🔁 Taint Analysis (Obligatorio)
-
-Implementar taint analysis básico pero efectivo, capaz de detectar flujos reales:
-
-Fuentes (Sources)
-
-req.body
-
-req.query
-
-req.params
-
-process.env
-
-localStorage
-
-document.location
-
-postMessage
-
-Sinks (Sinks)
-
-innerHTML
-
-document.write
-
-eval
-
-Function()
-
-child_process.exec
-
-spawn
-
-execFile
-
-fetch / axios (SSRF)
-
-Detectar flujos como:
-
-req.body → innerHTML
-
-process.env → exec
-
-🦠 Malware a Detectar (Cobertura Total)
-Tipos
-
-Supply-chain malware (npm)
-
-Cryptominers JS
-
-Stealers (cookies, tokens, localStorage)
-
-Backdoors lógicos
-
-Droppers / loaders
-
-Payloads ofuscados
-
-Técnicas
-
-Base64 → decode → eval
-
-new Function()
-
-WebAssembly sospechoso
-
-Anti-debugging JS
-
-Código auto-modificable
-
-Uso anómalo de encoding / crypto
-
-📦 Análisis Profundo de package.json
-
-Analizar estáticamente:
-
-scripts
-
-dependencies
-
-devDependencies
-
-engines
-
-preinstall / postinstall
-
-Detectar:
-
-Typosquatting
-
-Paquetes abandonados
-
-Scripts ofuscados
-
-Comandos peligrosos (curl | sh, powershell, eval)
-
-🧠 Uso de Inteligencia Artificial
-
-La IA debe apoyar en:
-
-Clasificación de severidad
-
-Detección de patrones no triviales
-
-Reducción de falsos positivos
-
-Explicación del hallazgo
-
-Debe poder analizar:
-
-Fragmentos de código
-
-Metadatos
-
-Ambos combinados
-
-El diseño debe permitir IA local o por API, de forma desacoplada.
-
-📊 Hallazgos y Reportes
-
-Cada hallazgo debe incluir:
-
-Código vulnerable exacto
-
-Contexto y snippet
-
-Call stack aproximado (si aplica)
-
-Referencias OWASP / CWE automáticas
-
-Categoría:
-
-Malware
-
-Vulnerabilidad
-
-Severidad justificada
-
-Recomendación + ejemplo de fix seguro
-
-El lenguaje debe ser:
-
-Profesional (auditoría)
-
-Comprensible para desarrolladores
-
-⚙️ Performance y Seguridad
-
-Implementar:
-
-🔁 Análisis paralelo
-
-⏱️ Timeouts solo si se detectan bucles anómalos
-
-🧠 Límites de memoria, priorizando precisión
-
-Protecciones contra:
-
-Código altamente ofuscado
-
-ReDoS por regex
-
-Archivos excesivamente grandes
-
-🧪 Calidad del Código
-
-El código generado debe:
-
-Seguir principios SOLID
-
-Ser 100% testeable
-
-Incluir tests unitarios
-
-Mantener compatibilidad con BaseAnalyzer
-
-Se permite introducir:
-
-Nuevas clases
-
-Nuevas interfaces
-
-Helpers reutilizables
-
-🚀 Instrucción Final
-
-Mejora incrementalmente el archivo javascriptAnalyzer.ts, documentando cada decisión técnica, agregando detección avanzada de malware y vulnerabilidades, sin ejecutar código analizado y manteniendo el enfoque SAST enterprise.
-
-Prioridad:
-
-Seguridad
-
-Precisión
-
-Cobertura
-
-Performance

package/src/rules/malware/INFO.md

@@ -1,287 +0,0 @@
-# Módulo de Detección de Malware - Refactorización Completa
-
-## 📋 Resumen
-
-El módulo de detección de malware ha sido completamente refactorizado en una **arquitectura sostenible, escalable y de nivel empresarial** siguiendo las especificaciones en `Promt.md`.
-
-## 🏗️ Arquitectura
-
-### Estructura Modular
-
-```
-src/rules/malware/
-├── types/           # Definiciones de tipos e interfaces
-├── constants/       # Constantes y configuración
-├── utils/           # Funciones utilitarias (entropía, normalización, detección de ofuscación)
-├── scoring/         # Calculadora de puntuación dinámica
-├── engine/          # Motor de detección principal con coincidencia de patrones
-├── categories/      # Categorías de reglas (7 módulos especializados)
-│   ├── backdoors.ts
-│   ├── cryptominers.ts
-│   ├── keyloggers.ts
-│   ├── exfiltration.ts
-│   ├── obfuscation.ts
-│   ├── loaders.ts
-│   └── network.ts
-└── index.ts         # Punto de entrada principal con exportaciones
-```
-
-## ✅ Funcionalidades Completadas
-
-### 1. **Sistema de Tipos** (`types/index.ts`)
-- ✅ Definiciones completas de tipos en TypeScript (650+ líneas)
-- ✅ Soporte para 13 lenguajes de programación
-- ✅ 30+ tipos de amenazas de malware
-- ✅ Tipos de detección multipatrón (Regex, AST, Heurístico, Semántico)
-- ✅ Interfaces completas para reglas, patrones, hallazgos, puntuaciones
-- ✅ Tipos de integración con MITRE ATT&CK
-- ✅ Interfaces del motor (IMalwareRuleEngine, IPatternMatcher, IScoreCalculator, IHeuristicAnalyzer)
-
-### 2. **Constantes** (`constants/index.ts`)
-- ✅ Umbrales de puntuación (Crítico: 85+, Alto: 65+, Medio: 40+, Bajo: 20+)
-- ✅ Umbrales de entropía (Normal: <4.5, Sospechoso: 5.5+, Alto: 6.5+, Binario: 7.5+)
-- ✅ Límites de rendimiento (tiempos de espera, coincidencias máximas, límites de tamaño de archivo)
-- ✅ Indicadores de ofuscación (escapes hexadecimales, unicode, base64, JSFuck)
-- ✅ Hosts sospechosos (pastebin, ngrok, TOR, etc.)
-- ✅ Indicadores de minería de criptomonedas
-- ✅ Funciones peligrosas por lenguaje
-- ✅ Mapeo de técnicas MITRE
-
-### 3. **Utilidades** (`utils/index.ts`)
-- ✅ Cálculo de entropía de Shannon
-- ✅ Análisis de entropía línea por línea
-- ✅ Normalización de código (eliminación de comentarios, espacios en blanco, secuencias de escape)
-- ✅ Detección de nivel de ofuscación (puntuación 0-1)
-- ✅ Detección de anti-depuración
-- ✅ Detección de verificaciones de entorno
-- ✅ Coincidencia segura de regex con protección contra timeout (prevención de ReDoS)
-- ✅ Extracción de fragmentos de código
-- ✅ Análisis de contenido base64
-- ✅ Extracción de cadenas sospechosas
-
-### 4. **Sistema de Puntuación** (`scoring/index.ts`)
-- ✅ Clase MalwareScoreCalculator que implementa IScoreCalculator
-- ✅ Puntuación dinámica multifactorial (0-100)
-- ✅ Desglose de puntuación:
-  - Conteo de coincidencias de patrones
-  - Nivel de ofuscación
-  - Actividad de red
-  - Patrones de ejecución
-  - Mecanismos de persistencia
-  - Correlación entre patrones
-- ✅ Conversión de puntuación a severidad
-- ✅ Cálculo de nivel de riesgo
-- ✅ Explicaciones legibles para humanos
-- ✅ Cálculo de puntuación combinada para múltiples hallazgos
-- ✅ Cálculo de nivel de confianza
-
-### 5. **Motor de Detección** (`engine/index.ts`)
-- ✅ Clase PatternMatcher con coincidencia de patrones multi-estrategia
-- ✅ Clase MalwareRuleEngine que orquesta el análisis
-- ✅ Soporte para:
-  - Patrones Regex con protección contra timeout
-  - Coincidencia de cadenas literales
-  - Patrones basados en AST (espacio reservado para integración)
-  - Patrones heurísticos (entropía, ofuscación)
-  - Patrones semánticos (espacio reservado para flujo de datos/control)
-- ✅ Detección de falsos positivos
-- ✅ Soporte para patrones amplificadores
-- ✅ Análisis concurrente de archivos con límites de concurrencia
-- ✅ Gestión de reglas (agregar, eliminar, habilitar/deshabilitar)
-- ✅ Generación de resumen de análisis
-- ✅ Filtrado de reglas basado en lenguaje
-
-### 6. **Categorías de Reglas**
-
-#### **Backdoors** (`categories/backdoors.ts`) - 10 Reglas
-- ✅ Reverse shells (conexiones de socket, netcat, socat)
-- ✅ Reverse shells en PowerShell
-- ✅ Web shells (PHP, JSP, Python, Node.js)
-- ✅ Patrones de beacon RAT
-- ✅ MITRE ATT&CK: T1059 (Comando y Scripting), T1071 (Protocolo de Capa de Aplicación)
-
-#### **Cryptominers** (`categories/cryptominers.ts`) - 11 Reglas
-- ✅ Mineros en el navegador (CoinHive, CryptoLoot)
-- ✅ Mineros WASM
-- ✅ Conexiones a pools (protocolo stratum)
-- ✅ Direcciones de billeteras
-- ✅ Software de minería (XMRig, algoritmos de minería)
-- ✅ Patrones de abuso de CPU
-- ✅ MITRE ATT&CK: T1496 (Secuestro de Recursos)
-
-#### **Keyloggers** (`categories/keyloggers.ts`) - 12 Reglas
-- ✅ Keyloggers en JavaScript (addEventListener, eventos onkey)
-- ✅ Capturadores de formularios
-- ✅ Keyloggers en Python (pynput)
-- ✅ Keyloggers del sistema (Windows SetWindowsHookEx, hooks de teclado en C#)
-- ✅ Ladrones de portapapeles (reemplazo de direcciones de criptomonedas)
-- ✅ Captura de pantalla
-- ✅ MITRE ATT&CK: T1056 (Captura de Entrada)
-
-#### **Exfiltración de Datos** (`categories/exfiltration.ts`) - 15 Reglas
-- ✅ Ladrones de tokens (JWT, OAuth)
-- ✅ Robo de cookies (5 métodos de exfiltración)
-- ✅ Robo de credenciales de formularios
-- ✅ Robo de claves API
-- ✅ Exfiltración de LocalStorage/SessionStorage
-- ✅ Robo de datos de IndexedDB
-- ✅ Extracción de PII y datos de tarjetas de crédito
-- ✅ MITRE ATT&CK: T1003 (Volcado de Credenciales), T1539 (Robo de Cookies de Sesión Web)
-
-#### **Ofuscación** (`categories/obfuscation.ts`) - 14 Reglas
-- ✅ Patrones de Base64 + eval
-- ✅ Codificación multinivel
-- ✅ Ofuscación por concatenación de cadenas
-- ✅ String.fromCharCode
-- ✅ Secuencias de escape Hex/Unicode
-- ✅ Empaquetadores de JavaScript (Dean Edwards, Obfuscator.io)
-- ✅ Anti-depuración (detección de DevTools, verificaciones de integridad de funciones)
-- ✅ Inserción de código muerto
-- ✅ MITRE ATT&CK: T1027 (Archivos Ofuscados), T1140 (Desofuscación/Decodificación)
-
-#### **Loaders/Droppers** (`categories/loaders.ts`) - 9 Reglas
-- ✅ Cargadores de código remoto (eval + fetch, constructor Function)
-- ✅ Inyección dinámica de scripts (document.write, createElement)
-- ✅ Droppers (descarga + escritura de archivos)
-- ✅ Malware de múltiples etapas (ejecución diferida, activación basada en entorno)
-- ✅ Malware sin archivos (ejecución solo en memoria)
-- ✅ Uso de herramientas del sistema (CertUtil, BitsAdmin, MSHTA, Regsvr32)
-- ✅ MITRE ATT&CK: T1105 (Transferencia de Herramientas de Ingreso), T1218 (Ejecución de Binarios del Sistema)
-
-#### **Red/C2** (`categories/network.ts`) - 10 Reglas
-- ✅ Patrones de beacon C2 (latidos periódicos)
-- ✅ Canales C2 WebSocket
-- ✅ Conexiones IP codificadas
-- ✅ Redes TOR/I2P/Anónimas
-- ✅ Sitios de alojamiento de texto (pastebin)
-- ✅ Servicios de túneles (ngrok, serveo)
-- ✅ Túneles DNS (codificación de datos en subdominios)
-- ✅ Patrones de registro de botnets
-- ✅ MITRE ATT&CK: T1071 (Protocolo de Capa de Aplicación), T1071.004 (DNS)
-
-### 7. **Punto de Entrada Principal** (`index.ts`)
-- ✅ Exportaciones completas de todos los módulos
-- ✅ Funciones de fábrica:
-  - `createMalwareEngine()` - Motor completo con las 81 reglas
-  - `createCriticalOnlyEngine()` - Solo reglas críticas
-  - `createCustomEngine()` - Subconjunto de reglas personalizadas
-- ✅ Funciones de conveniencia:
-  - `scanForMalware()` - Escaneo rápido con resultados
-  - `hasMalwareCategory()` - Verificar categoría específica
-  - `generateMalwareReport()` - Informe detallado con mapeo MITRE ATT&CK
-- ✅ Compatibilidad con el código existente
-- ✅ Metadatos e información del módulo
-
-## 📊 Estadísticas
-
-- **Total de Reglas**: 81 (71 nuevas + 10 de compatibilidad)
-- **Categorías**: 7 módulos especializados
-- **Lenguajes Soportados**: 13 (JS, TS, Python, PHP, C, C++, C#, Java, Ruby, Go, Rust, Shell, PowerShell)
-- **MITRE ATT&CK**: Integración completa con tácticas y técnicas
-- **Líneas de Código**: ~6,000+ líneas de TypeScript de nivel empresarial
-- **Tipos de Patrones**: Regex, Literal, AST, Heurístico, Semántico, Conductual
-
-## 🎯 Mejoras Clave
-
-### Funcionalidades de Nivel Empresarial
-1. **Puntuación Dinámica**: Puntuación de malware 0-100 con análisis multifactorial
-2. **Integración MITRE ATT&CK**: Mapeo completo de tácticas y técnicas
-3. **Reducción de Falsos Positivos**: Patrones dedicados y puntuación de confianza
-4. **Protección de Rendimiento**: Prevención de ReDoS, tiempos de espera, límites de concurrencia
-5. **Soporte Multilenguaje**: 13 lenguajes de programación
-6. **Remediación Detallada**: Remediación paso a paso para cada regla
-7. **Evaluación de Impacto**: Análisis de impacto técnico y empresarial
-8. **Integración CVE**: Soporte para referencias CVE
-
-### Detección Avanzada
-1. **Análisis de Entropía**: Entropía de Shannon para detección de ofuscación
-2. **Normalización de Código**: Desofuscación segura sin ejecución
-3. **Detección de Anti-Debugging**: DevTools, verificaciones de tiempo
-4. **Detección de Entorno**: Patrones de omisión de CI/CD
-5. **Análisis de Correlación**: Puntuación de relación entre patrones
-6. **Patrones Conductuales**: Detección de malware de múltiples etapas
-
-### Beneficios de la Arquitectura
-1. **Diseño Modular**: Fácil de agregar/modificar reglas
-2. **Seguridad de Tipos**: Soporte completo de TypeScript
-3. **Extensible**: Arquitectura de plugins para analizadores AST
-4. **Testeable**: Cada módulo puede ser probado independientemente
-5. **Mantenible**: Separación clara de responsabilidades
-6. **Escalable**: Soporte para análisis concurrente de archivos
-7. **Documentado**: Comentarios JSDoc completos
-
-## 📝 Ejemplos de Uso
-
-### Escaneo Básico
-```typescript
-import { scanForMalware } from './rules/malware';
-
-const result = await scanForMalware(code, 'javascript');
-if (result.isMalicious) {
-  console.log(`¡Malware detectado! Puntuación: ${result.score}`);
-  console.log(`Severidad: ${result.severity}`);
-}
-```
-
-### Motor con Opciones Personalizadas
-```typescript
-import { createMalwareEngine } from './rules/malware';
-
-const engine = createMalwareEngine({
-  enableHeuristics: true,
-  enableAstAnalysis: true,
-  minConfidence: 0.5,
-  language: 'javascript'
-});
-
-const findings = await engine.analyze(code, {
-  filePath: 'suspicious.js',
-  language: 'javascript'
-});
-```
-
-### Informe Detallado
-```typescript
-import { generateMalwareReport } from './rules/malware';
-
-const report = await generateMalwareReport(code, 'file.js', 'javascript');
-console.log(report.summary);
-console.log(report.mitreAttack);
-console.log(report.recommendations);
-```
-
-## 🔄 Compatibilidad con Versiones Anteriores
-
-El módulo refactorizado mantiene **100% de compatibilidad con versiones anteriores** del código existente:
-
-- La exportación original `malwareRules` sigue disponible
-- El tipo `Rule` heredado sigue siendo compatible
-- Las importaciones existentes seguirán funcionando
-
-## 🚀 Próximos Pasos (Mejoras Futuras)
-
-1. **Integración AST**: Agregar @babel/parser para análisis AST de JavaScript/TypeScript
-2. **Análisis Semántico**: Implementar análisis de flujo de datos y control
-3. **Aprendizaje Automático**: Agregar detección de anomalías basada en ML
-4. **Pruebas de Reglas**: Crear un conjunto de pruebas completo para todas las reglas
-5. **Documentación**: Agregar documentación detallada de la API
-6. **Optimización de Rendimiento**: Optimizar aún más los patrones regex y la coincidencia
-7. **Pruebas de Integración**: Agregar pruebas de integración con muestras reales de malware
-
-## ✨ Conclusión
-
-El módulo de detección de malware ha sido refactorizado con éxito en una **arquitectura de nivel empresarial, sostenible y escalable** comparable a herramientas SAST líderes en la industria como:
-- Semgrep
-- CodeQL
-- Checkmarx
-- Veracode
-
-La nueva arquitectura es:
-- ✅ Sostenible y mantenible
-- ✅ Escalable y extensible
-- ✅ Bien documentada
-- ✅ Segura en tipos
-- ✅ Optimizada en rendimiento
-- ✅ Lista para producción
-
-**Implementación Total**: 81 reglas completas en 7 categorías con capacidades avanzadas de detección, puntuación dinámica e integración completa con MITRE ATT&CK.