🔍 Contexte

Publié sur GitHub par l’utilisateur badchars (Orhan Yildirim), le projet darknet-mcp-server est un serveur Model Context Protocol (MCP) open source écrit en TypeScript, disponible via npm. La version v0.1.1 a été publiée il y a environ 3 semaines au moment de l’article (date de publication : 2026-07-17).

🛠️ Description du projet

Le serveur expose 66 outils répartis sur 16 sources de données permettant à des agents IA (ex: Claude) d’interroger des plateformes de threat intelligence dark web de manière unifiée :

  • Breach intelligence : Have I Been Pwned (HIBP), IntelligenceX
  • Ransomware tracking : ransomware.live, RansomLook
  • Accès Tor .onion : fetch, scrape, search via proxy SOCKS5
  • Analyse malware : Hybrid Analysis, MalwareBazaar, ThreatFox
  • Stealer logs : Hudson Rock Cavalier
  • Blockchain : Blockchain.info, ChainAbuse (Bitcoin uniquement)
  • Threat intel : AlienVault OTX, AbuseIPDB, GreyNoise, Pulsedive, Vulners
  • Phishing : PhishTank
  • CIRCL Onion Lookup

⚙️ Architecture et fonctionnement

Le serveur est conçu avec :

  • Rate limiters par provider pour respecter les limites API
  • Cache TTL (ransomware 15min, breach lists 10min, abuse.ch 5min)
  • Dégradation gracieuse en l’absence de clés API
  • Prévention des fuites DNS via protocole socks5h:// pour les outils Tor
  • 4 dépendances : @modelcontextprotocol/sdk, zod, socks-proxy-agent, cheerio

🔑 Clés API supportées

Plusieurs outils fonctionnent sans clé API. Les clés optionnelles/requises incluent : HIBP_API_KEY, INTELX_API_KEY, OTX_API_KEY, ABUSEIPDB_API_KEY, ABUSECH_AUTH_KEY, HUDSONROCK_API_KEY, VULNERS_API_KEY, HYBRID_API_KEY, PHISHTANK_API_KEY.

📌 Type d’article

Il s’agit d’une annonce de nouvel outil open source à destination des analystes CTI et des équipes de sécurité souhaitant intégrer des capacités d’intelligence dark web dans des workflows d’agents IA. Le projet est sous licence MIT.

🧠 TTPs et IOCs détectés

Malware / Outils

  • AgentTesla (stealer)

🔴 Indice de vérification factuelle : 25/100 (basse)

  • ⬜ github.com — source non référencée (0pts)
  • ✅ 19732 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ⬜ aucune TTP identifiée (0pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://github.com/badchars/darknet-mcp-server