środa, 21 stycznia 2026

Trwa kampania RondoDox: Botnet atakuje urządzenia IoT i aplikacje internetowe

Poważna luka w IBM API Connect zagraża bezpieczeństwu aplikacji

Problematyka Kont Osieroconych w Organizacjach

Operacja INTERPOLU: Aresztowania i Odbicie 3 Milionów Dolarów w Afryce

Nowa kampania rozprzestrzeniania trojana PyStoreRAT za pośrednictwem GitHub

Transformacja w Cyberbezpieczeństwie: Wzrost Zagrażających Włamań

Włamanie do LastPass w 2022 roku prowadzi do kradzieży kryptowalut w 2025 roku

Nowe działania grupy hakerskiej Infy: zagrożenie sprzed lat wciąż aktywne

Uncategorized

Nowa kampania rozprzestrzeniania trojana PyStoreRAT za pośrednictwem GitHub

13 gru 2025
cyberlacze 0
FacebookTwitterLinkedinPinterest

Eksperci zajmujący się bezpieczeństwem cybernetycznym zwrócili uwagę na nową kampanię, która wykorzystuje repozytoria Python na GitHubie do dystrybucji niedokumentowanego wcześniej złośliwego oprogramowania w postaci trojana zdalnego dostępu (RAT) nazwanego PyStoreRAT.

„Repozytoria te, często tematycznie związane z narzędziami deweloperskimi lub OSINT, zawierają jedynie kilka linijek kodu odpowiedzialnych za ciche pobieranie zdalnego pliku HTA i jego uruchamianie za pomocą 'mshta.exe'” – powiedział badacz Morphisec, Yonatan Edri, w raporcie przekazanym serwisowi The Hacker News.

Cechy PyStoreRAT

PyStoreRAT opisano jako „modularny, wieloetapowy” implant, który może uruchamiać moduły EXE, DLL, PowerShell, MSI, Python, JavaScript i HTA. Złośliwe oprogramowanie wdraża również program kradnący informacje znany jako Rhadamanthys jako dodatkowy ładunek.

Podczas ataków złośliwe oprogramowanie jest dystrybuowane poprzez stubs ładujące Python lub JavaScript osadzone w repozytoriach GitHub, które udają narzędzia OSINT, boty DeFi, opakowania GPT oraz narzędzia o tematyce bezpieczeństwa, mające na celu przyciągnięcie analityków i deweloperów.

Historia kampanii

Najwcześniejsze oznaki tej kampanii sięgają połowy czerwca 2025 roku, od tego czasu publikowano stały strumień repozytoriów. Narzędzia promowane są za pośrednictwem platform mediów społecznościowych, takich jak YouTube i X, oraz sztucznie zwiększają metryki gwiazdek i forków repozytoriów, co przypomina technikę wykorzystywaną przez sieć Stargazers Ghost.

Sprawcy za kampanią wykorzystują nowo utworzone konta GitHub lub te, które były bezczynne przez miesiące, by publikować repozytoria, dyskretnie umieszczając złośliwy ładunek w postaci „komitetów konserwacyjnych” w październiku i listopadzie, po tym jak narzędzia zaczęły zyskiwać na popularności i znalazły się na liście najczęściej trendingujących na GitHubie.

Warto zauważyć, że wiele z tych narzędzi nie funkcjonowało zgodnie z reklamowanymi opisami, jedynie wyświetlając statyczne menu lub nieinteraktywne interfejsy w niektórych przypadkach, podczas gdy inne realizowały minimalne operacje zastępcze. Celem operacji było nadanie im pozorów legalności poprzez nadużycie zaufania użytkowników do GitHubu oraz wprowadzenie ich w błąd, by uruchomić stub ładujący odpowiedzialny za zainicjowanie łańcucha infekcji.

Mechanizm działania PyStoreRAT

Operacja skutkuje uruchomieniem zdalnej aplikacji HTML (HTA), która następnie dostarcza złośliwe oprogramowanie PyStoreRAT. Malware to ma zdolności do profilowania systemu, sprawdzania uprawnień administratora oraz skanowania systemu w poszukiwaniu plików związanych z portfelami kryptowalut, w szczególności tych powiązanych z Ledger Live, Trezor, Exodus, Atomic, Guarda i BitBox02.

Stub ładujący zbiera informacje o zainstalowanych produktach antywirusowych oraz sprawdza napotkane ciągi, takie jak „Falcon” (nawiązanie do CrowdStrike Falcon) lub „Reason” (nawiązanie do Cybereason lub ReasonLabs), prawdopodobnie w celu zmniejszenia widoczności. W przypadku wykrycia, uruchamia „mshta.exe” za pośrednictwem „cmd.exe”. W przeciwnym razie kontynuuje bezpośrednie uruchamianie „mshta.exe”.

Trwałość i polecenia

Utrzymanie trwałości osiągane jest poprzez utworzenie zaplanowanego zadania, które jest maskowane jako aktualizacja aplikacji NVIDIA. Na końcowym etapie, złośliwe oprogramowanie łączy się z zewnętrznym serwerem w celu pobrania poleceń do wykonania na hoście. Do niektórych wspieranych poleceń należą:

  • Pobierz i uruchom ładunki EXE, w tym Rhadamanthys
  • Pobierz i rozpakuj archiwa ZIP
  • Pobierz złośliwy plik DLL i uruchom go za pomocą „rundll32.exe”
  • Pobierz surowy kod JavaScript i uruchom go dynamicznie w pamięci za pomocą eval()
  • Pobierz i zainstaluj pakiety MSI
  • Uruchom dodatkowy proces „mshta.exe” do ładowania dodatkowych zdalnych ładunków HTA
  • Bezpośrednie wykonywanie poleceń PowerShell w pamięci
  • Rozprzestrzenianie się przez wymienne dyski poprzez zamianę legalnych dokumentów na złośliwe pliki skrótów Windows (LNK)
  • Usuń zaplanowane zadanie, aby zatarć ślady

Na chwilę obecną nie wiadomo, kto stoi za tą operacją, ale obecność artefaktów i wzorców kodowania w języku rosyjskim sugeruje, że sprawca może pochodzić z Europy Wschodniej, jak twierdzi firma Morphisec.

„PyStoreRAT reprezentuje przesunięcie w kierunku modularnych, opartych na skryptach implantów, które mogą dostosowywać się do kontroli bezpieczeństwa i dostarczać wiele formatów ładunków” – podsumował Edri. „Jego wykorzystanie HTA/JS do wykonania, odpalenie ładunków Python oraz logika unikania wykrycia związana z Falconem tworzy ukryte pierwsze ogniwo, które tradycyjne rozwiązania EDR wykrywają dopiero późno w łańcuchu infekcji.”

Ujawnienie to następuje w czasie, gdy chiński dostawca bezpieczeństwa QiAnXin opisał kolejnego trojana zdalnego dostępu (RAT) o kodowej nazwie SetcodeRat, który prawdopodobnie jest rozpowszechniany w całym kraju od października 2025 roku za pomocą przynęt malvertisingowych. Setki komputerów, w tym należące do rządów i przedsiębiorstw, zostały zakażone w ciągu miesiąca.

„Złośliwy pakiet instalacyjny najpierw weryfikuje region ofiary” – powiedział QiAnXin Threat Intelligence Center. „Jeśli nie znajduje się ona w obszarze języka chińskiego, automatycznie zakończy działanie.”

Złośliwe oprogramowanie jest maskowane jako legalne instalatory popularnych programów, takich jak Google Chrome, i przechodzi do następnego etapu tylko wtedy, gdy język systemu odpowiada Chinom kontynentalnym (Zh-CN), Hongkongowi (Zh-HK), Makau (Zh-MO) oraz Tajwanowi (Zh-TW). Zakończy także wdrażanie, jeśli nastąpi nieudane połączenie z adresem URL Bilibili („api.bilibili[.]com/x/report/click/now”).

W następnym etapie uruchamiany jest plik wykonywalny o nazwie „pnm2png.exe”, który sideloaduje „zlib1.dll”, a potem odszyfrowuje zawartość pliku „qt.conf” i ją uruchamia. Odszyfrowany ładunek to DLL, który implementuje payload RAT. SetcodeRat może łączyć się z Telegramem lub konwencjonalnym serwerem dowodzenia i kontroli (C2), by pobierać instrukcje i przeprowadzać kradzież danych.

Oprogramowanie umożliwia przechwytywanie zrzutów ekranu, rejestrowanie naciśnięć klawiszy, odczytywanie folderów, ustawianie folderów, uruchamianie procesów, wykonywanie „cmd.exe”, ustawianie połączeń socketowych, zbieranie informacji o systemie i koneksji sieciowej oraz aktualizowanie się do nowej wersji.

View Full Content
Previous

Nowa kampania złośliwego oprogramowania wykorzystuje repozytoria GitHub do dystrybucji PyStoreRAT

Next

Agencja CISA ostrzega przed poważną luką w routerach Sierra Wireless AirLink ALEOS

Related Posts

Uncategorized

Rewolucja w Zarządzaniu Bezpieczeństwem: Jak AI Zmienia Rynek Usług MS

21 stycznia, 2026
Uncategorized

Problematyka Kont Osieroconych w Organizacjach

20 stycznia, 2026
Uncategorized

Transformacja w Cyberbezpieczeństwie: Wzrost Zagrażających Włamań

19 stycznia, 2026

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Check Also
Uncategorized

Rewolucja w Zarządzaniu Bezpieczeństwem: Jak AI Zmienia Rynek Usług MS

21 stycznia, 2026
FacebookTwitter