Под маской инструментов для OSINT и решений в сфере DeFi распространяется троян удалённого доступа, обладающий обширным набором возможностей.
Ранее не документированный вредонос PyStoreRAT распространялся через несколько репозиториев на GitHub.
Эти репозитории были ориентированы на программистов, работающих с Python. Некоторые из них представлялись как утилиты для разработчиков или средства OSINT-разведки. Однако внутри содержались строки кода, предназначенные для загрузки HTA-файла (HTML Application) и его запуска с помощью mshta.exe. Об этом сообщают аналитики компании Morphisec.
PyStoreRAT характеризуется как модульный имплант, внедряемый в несколько этапов и способный запускать дополнительные модули в форматах EXE, DLL, PowerShell, MSI, Python, JavaScript и HTA.
В качестве полезной нагрузки на второй стадии атаки вредонос также развёртывает печально известный похититель данных Rhadamanthys.
Схемы атак включают распространение зловредного ПО через загрузочные заглушки, написанные на Python или JavaScript, которые встраиваются в репозитории GitHub под видом OSINT-инструментов, DeFi-ботов, надстроек для GPT и утилит, связанных с кибербезопасностью. Это указывает на то, что целью являются аналитики и разработчики программного обеспечения.
Первые признаки кампании были замечены в середине июня 2025 года; впоследствии новые репозитории подобного рода стали появляться на регулярной основе. Их продвигают через социальные сети, а также путём искусственного накручивания показателей stars и forks — этим методом, кстати, активно пользовалась группировка Stargazers Ghost Network.
Организаторы кампании публикуют новые репозитории либо со специально созданных учётных записей GitHub, либо от имени аккаунтов, которые оставались неактивными в течение нескольких месяцев.
Вредоносная нагрузка внедряется скрытно и не сразу. Как правило, её незаметно добавляют под видом технических коммитов уже после того, как инструменты набрали определённую популярность и попали в список трендов.
Примечательно, что многие из этих инструментов вообще не обладали заявленной функциональностью: в одних случаях они отображали лишь статические меню или неинтерактивные интерфейсы, в других — выполняли минимальные операции-заглушки. Целью было придание им видимости легитимности.
Запуск любого такого инструмента фактически приводит к выполнению удалённого исполняемого файла HTML Application (HTA), который, в свою очередь, загружает вредонос PyStoreRAT.
Последний проводит сканирование системы, проверяет наличие прав администратора у текущей учётной записи, а также ищет в системе файлы, связанные с криптовалютными кошельками — такие как Ledger Live, Trezor, Exodus, Atomic, Guarda и BitBox02.
Загрузочный модуль (стаб) анализирует перечень присутствующих в системе антивирусных решений, выискивая упоминания «Falcon» (что указывает на CrowdStrike Falcon) или «Reason» (возможно, Cybereason или ReasonLabs), по-видимому, для маскировки своей активности. При их выявлении он инициирует запуск mshta.exe посредством cmd.exe. Если же такие продукты не найдены, mshta.exe активируется напрямую.
Для обеспечения устойчивости в среде создаётся задача в планировщике, замаскированная под процесс обновления драйверов NVIDIA. На заключительном этапе вредонос подключается к внешнему серверу для получения инструкций от злоумышленников. К ним относятся: загрузка и запуск исполняемых файлов, в том числе Rhadamanthys; получение и распаковка ZIP-архивов; загрузка вредоносной DLL и её выполнение через rundll32.exe; получение «чистого» JavaScript-кода и его динамическое исполнение в памяти с помощью eval(); загрузка и инсталляция MSI-пакетов; запуск дополнительного процесса mshta.exe для загрузки удалённых HTA-модулей; прямое выполнение команд PowerShell в памяти; распространение через съёмные диски путём замены настоящих документов на вредоносные ярлыки Windows (LNK); удаление задачи из планировщика для сокрытия следов, которые могли бы помочь в расследовании.
Пока не установлено, кто именно стоит за этой атакой, однако русскоязычные артефакты и специфические шаблоны кода, как отмечают в Morphisec, свидетельствуют о возможном восточноевропейском происхождении злоумышленников.
Александр Чубов, К2Тех: Внедрять контейнеризацию «ради моды» точно не стоит
«GitHub всё активнее превращается в канал для распространения угроз, и злоумышленники успешно адаптировались к его особенностям и функциональности, — отмечает Никита Павлов, специалист по кибербезопасности компании SEQ. — Без кардинального пересмотра систем фильтрации вредоносных элементов значительных улучшений ждать не стоит».
Судя по всему, данная кампания продолжается и в настоящее время.
