Злонамерен софтуер от типа троянски кон, предназначен за отдалечен достъп до системите на жертвите и с широк набор от функции, се разпространява под прикритието на OSINT инструменти и инструменти за DeFi разработка в популярния уеб-ресурс GitHub.
Досега недокументираният зловреден софтуер PyStoreRAT се разпространяваше чрез няколко хранилища на GitHub, насочени към разработчици на софтуер на Python. Някои от тях бяха маскирани като инструменти за разработчици или OSINT инструменти. Но според изследователи от Morphisec, тези инструменти съдържат няколко реда код, предназначени за изтегляне като HTA (HTML Application) файл и стартирането му с помощната програма mshta.exe.
Модулен имплант
PyStoreRAT е описан като модулен имплант, внедрен на няколко етапа, способен да изпълнява допълнителни модули във формати EXE, DLL, PowerShell, MSI, Python, JavaScript и HTA. Зловредният софтуер също така внедрява скандалния инфостилър Rhadamanthys като полезен товар на втори етап.
Веригите за атаки включват разпространение на зловреден софтуер чрез зареждащи заглушватели, написани на Python или JavaScript и вградени в хранилища на GitHub, маскирани като OSINT инструменти, DeFi ботове, GPT добавки и помощни програми за информационна сигурност. Това предполага, че обект на атаки са анализатори и разработчици на софтуер.
Първите признаци на злонамерената кампания са забелязани в средата на юни 2025 г.; впоследствие редовно започват да се появяват нови „хранилища” от този вид. Те се популяризират чрез социалните медии и чрез изкуствено завишаване на показателите stars и forks – техника, която, между другото, е била активно използвана от групата Stargazers Ghost Network.
Операторите на кампанията публикуват нови хранилища или от специално създадени акаунти в GitHub, или от акаунти, които са останали неактивни в продължение на няколко месеца.
Злонамереният полезен товар не се разгръща веднага незабелязано. Обикновено той се въвежда тихо под прикритието на технически “комити”, след като инструментите са придобили известна популярност и са попаднали в списъка с тенденции.
Важно е също, че много от инструментите дори не съдържат рекламираната функционалност: в някои случаи те показват само статични менюта или неинтерактивни интерфейси, докато в други извършват минимални заглушаващи операции. Целта на тези операции е да придадат вид на легитимност на инструментите.
Стартирането на който и да е от инструментите всъщност води до изпълнение на отдалечен HTA файл, който от своя страна изтегля зловредния софтуер PyStoreRAT.
Многоглав злонамерен софтуер
PyStoreRAT сканира системата, проверява за администраторски права текущия акаунт и търси файлове, свързани с портфейли за криптовалута – по-специално Ledger Live, Trezor, Exodus, Atomic, Guarda и BitBox02.
Зареждащото заглушаване събира списък с инсталирани антивирусни продукти и проверява за низове, съдържащи думите „Falcon” (препратка към CrowdStrike Falcon) или „Reason” (препратка към Cybereason или ReasonLabs), което вероятно ще намали видимостта му. Ако бъдат открити такива низове, се стартира помощната програма mshta.exe чрез cmd.exe. Ако тези пакети не бъдат открити, се стартира директно mshta.exe.
Устойчивостта се постига чрез създаване на задача за планиране, маскирана като актуализация на приложение на Nvidia. В последния етап зловредният софтуер установява връзка с външен сървър, за да получава следните команди от оператора:
- изтегляне и изпълнение на EXE файлове, включително Rhadamanthys;
- изтегляне и разархивиране на ZIP архиви;
- изтегляне на злонамерен DLL файл и изпълнението му с помощта на rundll32.exe;
- получаване на суров JavaScript код и динамичното му изпълнение в паметта с помощта на eval();
- изтегляне и инсталиране на MSI пакети;
- стартиране на вторичен процес mshta.exe за изтегляне на допълнителни отдалечени HTA файлове;
- изпълнение на PowerShell команди директно в паметта;
- разпространение чрез сменяеми носители и замяна на легитимни документи със злонамерени преки пътища на Windows (LNK);
- изтриване на задача за планиране, за да се премахнат следи, които биха могли да бъдат използвани от съдебни експерти.
Въпреки че самоличността на нападателя зад тази операция в момента е неизвестна, наличието на артефакти на руски език и характерни кодови модели показва вероятен източноевропейски произход на действащите лица, отбеляза Morphisec.
GitHub все повече се превръща в канал за разпространение на злонамерен софтуер, а нападателите са станали доста умели в манипулирането на неговата функционалност, коментират експертите.
Разкритата зловредна кампания изглежда продължава. Без фундаментално преразглеждане на механизма за филтриране на зловреден софтуер в GitHub не могат да се очакват никакви подобрения.
