Под маской инструментов для OSINT и решений в сфере DeFi распространяется троян удалённого доступа, обладающий обширным набором возможностей.
Ранее неизвестный вредонос PyStoreRAT распространялся через несколько репозиториев на GitHub.
Эти репозитории были ориентированы на разработчиков, использующих язык Python. Некоторые из них маскировались под вспомогательные утилиты или средства OSINT. Однако внутри содержались строки кода, предназначенные для загрузки HTA-файла (HTML Application) и его последующего запуска с помощью mshta.exe. Об этом сообщают аналитики компании Morphisec.
PyStoreRAT характеризуется как модульный имплант, внедряемый в несколько этапов и способный запускать дополнительные модули в различных форматах: EXE, DLL, PowerShell, MSI, Python, JavaScript и HTA.
На второй стадии атаки вредонос также развёртывает печально известный похититель данных Rhadamanthys.
Схемы атак включают распространение зловредного ПО через загрузочные оболочки, написанные на Python или JavaScript, которые встраиваются в репозитории GitHub под видом OSINT-инструментов, DeFi-ботов, расширений для GPT и утилит для кибербезопасности. Это указывает на то, что целью являются аналитики и программисты.
Первые признаки этой кампании были зафиксированы в середине июня 2025 года; впоследствии аналогичные «репозитории» стали появляться на регулярной основе. Их продвижение осуществляется через социальные сети, а также путём искусственного накручивания показателей stars и forks — метод, который, кстати, активно использовала группировка Stargazers Ghost Network.
Организаторы кампании публикуют новые репозитории либо со специально созданных учётных записей GitHub, либо от имени аккаунтов, которые оставались неактивными в течение нескольких месяцев.
Вредоносная нагрузка внедряется скрытно и не сразу. Как правило, она незаметно добавляется в виде технических коммитов уже после того, как инструменты набирают определённую популярность и попадают в список трендов.
Примечательно, что многие из этих инструментов вообще не обладали заявленной функциональностью: в одних случаях они отображали лишь статические меню или неинтерактивные интерфейсы, в других — выполняли лишь минимальные действия-заглушки. Целью было создание видимости их легитимности.
Запуск любого такого инструмента фактически приводит к выполнению удалённого исполняемого файла HTML Application (HTA), который, в свою очередь, загружает вредонос PyStoreRAT.
Последний проводит сканирование системы, проверяет наличие административных прав у текущей учётной записи, а также ищет в системе файлы, связанные с криптовалютными кошельками — такие как Ledger Live, Trezor, Exodus, Atomic, Guarda и BitBox02.
Исходный загрузчик (стаб) анализирует перечень присутствующих в системе антивирусных решений, выискивая упоминания «Falcon» (что может указывать на CrowdStrike Falcon) или «Reason» (возможно, Cybereason или ReasonLabs), предположительно для маскировки своей активности. При их выявлении он инициирует запуск mshta.exe посредством cmd.exe. Если же такие продукты не найдены, mshta.exe активируется напрямую.
Для обеспечения устойчивости в среде зловред создаёт задание в планировщике, замаскированное под процесс обновления драйверов NVIDIA. На заключительном этапе вредоносное ПО устанавливает соединение с командным сервером для получения инструкций. В их спектр входят: загрузка и исполнение EXE-модулей, в том числе Rhadamanthys; получение и распаковка ZIP-архивов; загрузка вредоносной DLL и её запуск через rundll32.exe; получение «сырого» JavaScript-кода и его динамическое выполнение в памяти с помощью eval(); загрузка и инсталляция MSI-пакетов; запуск дополнительного процесса mshta.exe для загрузки удалённых HTA-нагрузок; прямое выполнение команд PowerShell в памяти; распространение через съёмные носители путём замены настоящих документов на вредоносные ярлыки Windows (LNK); удаление задания планировщика для сокрытия следов, которые могли бы помочь в расследовании.
Источник этой атаки пока не установлен, однако русскоязычные артефакты и специфические шаблоны кода, по мнению Morphisec, свидетельствуют о возможном восточноевропейском происхождении злоумышленников.
«GitHub всё активнее превращается в канал для распространения угроз, и злоумышленники успешно адаптировались к его особенностям и функциональности, — отмечает Никита Павлов, специалист по кибербезопасности компании SEQ. — Без кардинального пересмотра систем фильтрации вредоносных компонентов значительных улучшений ожидать не стоит».
Судя по всему, данная кампания всё ещё продолжается.
