- NOX 1.0.3 là engine Cyber Threat Intelligence async, plugin-driven, chạy autoscan breach → crack → dork → scrape trên 124 nguồn với lớp OPSEC proxy + kill-switch tích hợp.
- Mã nguồn mở Apache 2.0, viết bằng Python.
TL;DR
NOX là framework OSINT / Cyber Threat Intelligence mới phát hành bản 1.0.3 ngày 15/04/2026, open-source trên GitHub dưới giấy phép Apache 2.0. Điểm khác biệt: kiến trúc fully async, tách hoàn toàn engine khỏi nguồn (mọi source là file JSON), chạy autoscan đệ quy theo chuỗi breach → crack → dork → scrape qua 124 plugin, kèm lớp OPSEC Guardian với proxy rotation, JA3 fingerprinting và kill-switch fail-safe.
Có gì mới
Khác với các meta-framework OSINT truyền thống (SpiderFoot, recon-ng) vốn đi theo hướng threaded hoặc đồng bộ, NOX được thiết kế async-native từ đầu. File nox.py là engine thuần, không chứa bất kỳ logic tình báo nào. Mọi kiến thức về nguồn — API endpoint, schema response, rule parse — đều sống trong thư mục sources/ dưới dạng JSON plugin. Muốn thêm nguồn mới, user chỉnh plugin JSON và chạy build_sources.py, không phải sửa Python.
Bản 1.0.3 đi kèm 124 nguồn dựng sẵn, hỗ trợ cả 5 họ hash phổ biến (MD5, SHA1, SHA256, NTLM, bcrypt) và ship theo 2 kênh: clone git hoặc gói .deb cho Debian/Kali (tự dựng venv tại /opt/nox-cli/.venv).
Tại sao đáng chú ý
Trong CTI / red team, bottleneck lớn nhất không phải thuật toán mà là I/O: chờ 124 API trả lời tuần tự thì một ca pivot có thể mất hàng chục phút. NOX xử lý đồng thời toàn bộ nguồn qua asyncio, đồng thời đưa OPSEC thành công dân hạng nhất — không phải add-on. Guardian Engine tự động load proxy pool, rotate SOCKS5/HTTP/S/Tor, jitter mỗi request, luân phiên nhiều API key per source, và kích hoạt kill-switch nếu phát hiện rò rỉ identifier thật. Đây là thứ mà operator thường phải tự viết glue code để có trước đây.
Thông số kỹ thuật
- 124 JSON plugin sources — intelligence định nghĩa hoàn toàn bằng data
- Risk scoring 0–100 — có time-decay, source confidence weight, password complexity, persistence multiplier, HVT detection
- Recursive Avalanche Engine — child asset chạy song song qua
asyncio.gather, pipeline per-asset tuần tự (breach → crack → dork → scrape), global dedup set chống vòng lặp, mặc định cap pivot depth = 2 - Hash pivoting — MD5 / SHA1 / SHA256 / NTLM / bcrypt qua API query đồng thời, plaintext crack được đẩy lại queue như password-recycling seed
- Output — JSON / CSV / HTML / Markdown / PDF, kèm
_metablock (scan_id, target, timestamp, nox_version, pivot_depth_reached) để ingest thẳng vào case management - Storage — SQLite forensic cache tại
~/.nox/nox_cache.db, API key chmod 0600 tại~/.config/nox-cli/apikeys.json - Runtime — Python 3.8+, Tor optional (chỉ khi dùng flag
--tor)
So với các framework khác
| Khía cạnh | NOX 1.0.3 | SpiderFoot | recon-ng |
|---|---|---|---|
| I/O model | Fully async (asyncio) | Threaded | Đồng bộ, modular |
| Source as code / data | JSON plugin (data) | Python module | Python module |
| Số nguồn out-of-box | 124 | ~200 (phần nhiều API thương mại) | ~80+ module |
| OPSEC tích hợp | Proxy pool + JA3 + Tor + kill-switch | Proxy cơ bản | Tự cấu hình |
| Hash pivoting tự động | Có — plaintext recycled thành seed | Không native | Không native |
| License | Apache 2.0 | MIT (OSS) + HX (SaaS) | GPL |
Use case thực tế
NOX hướng đến 4 kịch bản chính, tất cả đều yêu cầu ủy quyền bằng văn bản:
- Red team engagement — từ một email mục tiêu, autoscan tự pivot ra username khác, hash rò rỉ, password cũ còn dùng lại, tài khoản social lộ
- Corporate exposure analysis — rà toàn bộ email / domain công ty qua breach feed để phát hiện credential đang lưu hành trên paste site, Telegram channel
- DFIR (Digital Forensics & Incident Response) — từ 1 IOC ban đầu dựng full identity graph, xuất PDF/HTML cho case file
- Academic security research — dataset reproducible nhờ
_metablock self-describing
Câu lệnh --autoscan kích hoạt pipeline 4 giai đoạn: (1) breach scan song song toàn bộ source, (2) hash crack qua API đồng thời, (3) dork Google / Bing / SearXNG tìm tài liệu rò rỉ, (4) scrape paste site và kênh Telegram. Mọi identifier tìm được tự động quay lại làm seed mới.
Giới hạn & pricing
NOX miễn phí hoàn toàn — không có tier trả phí, không SaaS. Nhưng có vài thứ cần lưu ý: (1) một số nguồn upstream cần API key user tự cung cấp; (2) chỉ có CLI, không GUI / dashboard; (3) dự án còn trẻ (167 star, 15 fork tại thời điểm 1.0.3) nên hệ sinh thái plugin cộng đồng chưa bằng SpiderFoot; (4) pivot depth mặc định cap 2 để tránh scan lan man — nếu mở rộng phải tin vào dedup set. Quan trọng nhất là rủi ro pháp lý: README của dự án nhấn mạnh mọi use case không có ủy quyền bằng văn bản là hành vi vi phạm CFAA (Mỹ) và Computer Misuse Act 1990 (Anh).
Sắp tới
Kiến trúc plugin-as-JSON được thiết kế rõ ràng cho community contribution — chỉ cần PR một file JSON là thêm được nguồn. Dự án có sẵn CONTRIBUTING.md và SECURITY.md, chưa công bố roadmap thương mại, giữ nguyên định hướng OSS thuần. Với đà release nhanh (đã chạm 1.0.3 chỉ trong vài tuần sau launch), nhiều khả năng bản kế tiếp sẽ mở rộng thêm nguồn dark-web và tinh chỉnh risk scoring.
