🔍 Contexte
Publié sur GitHub par l’utilisateur badchars (Orhan Yildirim), le projet darknet-mcp-server est un serveur Model Context Protocol (MCP) open source écrit en TypeScript, disponible via npm. La version v0.1.1 a été publiée il y a environ 3 semaines au moment de l’article (date de publication : 2026-07-17).
🛠️ Description du projet
Le serveur expose 66 outils répartis sur 16 sources de données permettant à des agents IA (ex: Claude) d’interroger des plateformes de threat intelligence dark web de manière unifiée :
- Breach intelligence : Have I Been Pwned (HIBP), IntelligenceX
- Ransomware tracking : ransomware.live, RansomLook
- Accès Tor .onion : fetch, scrape, search via proxy SOCKS5
- Analyse malware : Hybrid Analysis, MalwareBazaar, ThreatFox
- Stealer logs : Hudson Rock Cavalier
- Blockchain : Blockchain.info, ChainAbuse (Bitcoin uniquement)
- Threat intel : AlienVault OTX, AbuseIPDB, GreyNoise, Pulsedive, Vulners
- Phishing : PhishTank
- CIRCL Onion Lookup
⚙️ Architecture et fonctionnement
Le serveur est conçu avec :
- Rate limiters par provider pour respecter les limites API
- Cache TTL (ransomware 15min, breach lists 10min, abuse.ch 5min)
- Dégradation gracieuse en l’absence de clés API
- Prévention des fuites DNS via protocole
socks5h://pour les outils Tor - 4 dépendances :
@modelcontextprotocol/sdk,zod,socks-proxy-agent,cheerio
🔑 Clés API supportées
Plusieurs outils fonctionnent sans clé API. Les clés optionnelles/requises incluent : HIBP_API_KEY, INTELX_API_KEY, OTX_API_KEY, ABUSEIPDB_API_KEY, ABUSECH_AUTH_KEY, HUDSONROCK_API_KEY, VULNERS_API_KEY, HYBRID_API_KEY, PHISHTANK_API_KEY.
📌 Type d’article
Il s’agit d’une annonce de nouvel outil open source à destination des analystes CTI et des équipes de sécurité souhaitant intégrer des capacités d’intelligence dark web dans des workflows d’agents IA. Le projet est sous licence MIT.
🧠 TTPs et IOCs détectés
Malware / Outils
- AgentTesla (stealer)
🔴 Indice de vérification factuelle : 25/100 (basse)
- ⬜ github.com — source non référencée (0pts)
- ✅ 19732 chars — texte complet (fulltext extrait) (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ⬜ aucune TTP identifiée (0pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://github.com/badchars/darknet-mcp-server