"""사전 실행 보안 스캔 위협 패턴 정의.

EXEC_THREAT_PATTERNS: (regex, threat_id, description)
"""

EXEC_THREAT_PATTERNS: list[tuple[str, str, str]] = [
    # ── homograph URL ────────────────────────────────────────────────────────
    (
        r"https?://[^\s]*[\u0400-\u04FF]",
        "HOMO-001",
        "호모그래프 URL",
    ),
    # ── pipe execution ───────────────────────────────────────────────────────
    (
        r"\|\s*(?:bash|sh|zsh|python|perl|ruby)",
        "PIPE-001",
        "파이프 실행",
    ),
    # ── terminal escape ──────────────────────────────────────────────────────
    (
        r"\\x[0-9a-f]{2}.*\\x[0-9a-f]{2}",
        "TERM-001",
        "터미널 이스케이프",
    ),
    # ── environment injection ────────────────────────────────────────────────
    (
        r"LD_PRELOAD\s*=",
        "ENV-001",
        "LD_PRELOAD 인젝션",
    ),
    (
        r"LD_LIBRARY_PATH\s*=",
        "ENV-002",
        "라이브러리 경로 인젝션",
    ),
    # ── dangerous download ───────────────────────────────────────────────────
    (
        r"curl.*-[oO]\s*/",
        "DL-001",
        "루트 경로 다운로드",
    ),
    # ── permission abuse ─────────────────────────────────────────────────────
    (
        r"chmod\s+[0-7]*[7][0-7]*",
        "PERM-001",
        "과도한 권한 부여",
    ),
    # ── /etc write ───────────────────────────────────────────────────────────
    (
        r">\s*/etc/",
        "WRITE-001",
        "/etc 쓰기",
    ),
    # ── destructive ──────────────────────────────────────────────────────────
    (
        r"rm\s+-rf\s+/(?!\S)",
        "DEST-001",
        "루트 삭제",
    ),
    (
        r"dd\s+.*of=/dev/",
        "DEST-002",
        "디스크 덮어쓰기",
    ),
]