Опасный троян распространяется через GitHub

Через GitHub распространяется ранее не задокументированный троянец удаленного доступа PyStoreRAT. Вредонос маскируется под репозитории с инструментами для OSINT, разработки DeFi, GPT-надстроек и утилит информационной безопасности, нацеливаясь на аналитиков и разработчиков.

Атака начинается с загрузки и запуска HTA-файла через mshta.exe. Вредонос является модульным имплантом, способным выполнять дополнительные модули в форматах EXE, DLL, PowerShell, MSI, Python, JavaScript и HTA. На втором этапе, как сообщили исследователи Morphisec, развертывается инфостилер Rhadamanthys.

Кампания была впервые замечена в середине июня 2025 года. Злоумышленники используют специально созданные или скомпрометированные аккаунты GitHub, а также искусственно накручивают показатели популярности репозиториев. Вредоносный код добавляется позже, под видом технических коммитов, после того как проект набирает популярность.

Продолжение ниже

PyStoreRAT проводит сканирование системы, проверяет права администратора и ищет файлы криптовалютных кошельков, включая Ledger Live, Trezor и Exodus. Как указывается в анализе, загрузочная заглушка также проверяет наличие антивирусных продуктов CrowdStrike Falcon и Cybereason/ReasonLabs для выбора метода запуска.

Для закрепления в системе троянец создает задание планировщика, маскирующееся под обновление NVIDIA. Затем он устанавливает соединение с C&C-сервером для получения команд, которые позволяют загружать и выполнять файлы, запускать код в памяти, распространяться через съемные носители и удалять следы.

По данным Morphisec, артефакты на русском языке и паттерны кода указывают на вероятное восточноевропейское происхождение угрозы. Кампания, по всей видимости, продолжается.