środa, 21 stycznia 2026

Nowa kampania cyberataków PHALT#BLYX wymierzona w europejski sektor hotelarski

Problematyka Kont Osieroconych w Organizacjach

Wzrost oszustw inwestycyjnych Nomani o 62% w 2025 roku

Phishing kampania powiązana z Rosją atakuje konta Microsoft 365

Zagrożenie bezpieczeństwa w MongoDB: Wykryto podatność CVE-2025-14847

Grupa Silver Fox atakuje Indie, wykorzystując wyłudzenia związane z podatkami

Wysokowoltowy problem bezpieczeństwa w MongoDB: Potencjalne ryzyko ujawnienia danych

Nowe zagrożenia w cyberbezpieczeństwie: Jak radzić sobie z atakami niezauważanymi przez tradycyjne systemy

Cyberbezpieczeństwo

Nowa kampania złośliwego oprogramowania wykorzystuje repozytoria GitHub do dystrybucji PyStoreRAT

12 gru 2025
cyberlacze 0
FacebookTwitterLinkedinPinterest

Badacze zajmujący się cyberbezpieczeństwem zwracają uwagę na nową kampanię, która wykorzystuje repozytoria Python na GitHubie do rozprzestrzeniania niezidentyfikowanego wcześniej trojana zdalnego dostępu, znanego jako PyStoreRAT.

Według badania przedstawionego przez Jonatana Edriego z Morphisec, „te repozytoria, często tematycznie związane z narzędziami deweloperskimi lub OSINT, zawierają jedynie kilka lini kodu, które w cichym trybie pobierają zdalny plik HTA i wykonują go za pomocą 'mshta.exe'”.

Modularna struktura PyStoreRAT

PyStoreRAT opisano jako „modułowy, wieloetapowy” implant, który może wykonywać różne moduły EXE, DLL, PowerShell, MSI, Python, JavaScript oraz HTA. Malware uruchamia również Rhadamanthys, znane jako narzędzie kradnące informacje, jako drugi ładunek.

Kampania ataków polega na dystrybucji złośliwego oprogramowania za pośrednictwem Python lub JavaScriptowy loaderów wplecionych w repozytoria GitHub, które udają narzędzia OSINT, boty DeFi, opakowania GPT oraz narzędzia związane z bezpieczeństwem, które mają za zadanie przyciągnąć analityków i programistów.

Historia kampanii i metody dystrybucji

Pierwsze oznaki tej kampanii sięgają połowy czerwca 2025 roku, od tego czasu publikowane są regularnie nowe „repozytoria”. Narzędzia te promowane są na platformach społecznościowych, takich jak YouTube i X, a także sztucznie zwiększają metryki gwiazdek i forków repozytoriów – technika przypominająca sieć Stargazers Ghost.

Sprawcy kampanii wykorzystują zarówno nowo utworzone konta GitHub, jak i te, które pozostawały w uśpieniu przez wiele miesięcy, aby opublikować repozytoria, potajemnie wprowadzając złośliwy ładunek w formie „poprawek” w październiku i listopadzie, gdy narzędzia zyskały na popularności i znalazły się na czołowych listach trendów GitHub.

W rzeczywistości wiele z tych narzędzi nie funkcjonowało tak, jak reklamowano; w niektórych przypadkach tylko wyświetlały statyczne menu lub interfejsy, które nie były interaktywne, podczas gdy inne wykonywały minimalne operacje.

Mechanizm działania i zagrożenia

Operacja miała na celu nadanie narzędziom pozorów legalności poprzez nadużycie wewnętrznego zaufania GitHub i oszukanie użytkowników do uruchomienia loaderów, które zainicjowały łańcuch infekcji. To skutecznie wywołuje wykonanie zdalnego ładunku HTML Application (HTA), co z kolei dostarcza malware PyStoreRAT, który ma zdolność profilowania systemu, sprawdzania uprawnień administratora oraz przeszukiwania systemu w poszukiwaniu plików związanych z portfelami kryptowalutowymi jak Ledger Live, Trezor, Exodus, Atomic, Guarda oraz BitBox02.

Loader zbiera listę zainstalowanych produktów antywirusowych i sprawdza ciągi odpowiadające „Falcon” (odniesienie do CrowdStrike Falcon) lub „Reason” (odniesienie do Cybereason lub ReasonLabs), co prawdopodobnie ma na celu ograniczenie widoczności. W przypadku wykrycia, uruchamia „mshta.exe” za pomocą „cmd.exe”, w przeciwnym razie wykonuje bezpośrednio „mshta.exe”.

Trwałość i kontakt z serwerem zdalnym

Utrzymywanie infekcji jest osiągane poprzez ustawienie zadania zaplanowanego, które jest ukryte jako samodzielna aktualizacja aplikacji NVIDIA. W końcowej fazie malware kontaktuje się z zewnętrznym serwerem, aby pobrać polecenia do wykonania na hoście. Niektóre z obsługiwanych poleceń obejmują:

  • Pobieranie i wykonywanie ładunków EXE, w tym Rhadamanthys
  • Pobieranie i rozpakowywanie archiwów ZIP
  • Pobieranie złośliwego DLL i wykonywanie go za pomocą „rundll32.exe”
  • Pobieranie surowego kodu JavaScript i dynamiczne wykonywanie go w pamięci za pomocą eval()
  • Pobieranie i instalowanie pakietów MSI
  • Tworzenie dodatkowych procesów „mshta.exe” do ładowania zdalnych ładunków HTA
  • Wykonywanie poleceń PowerShell bezpośrednio w pamięci
  • Rozprzestrzenianie poprzez nośniki wymienne poprzez zastępowanie legalnych dokumentów złośliwymi plikami skrótu Windows (LNK)
  • Usuwanie zaplanowanych zadań w celu zatarcia śladów

Na razie nie wiadomo, kto stoi za tą operacją, ale obecność artefaktów i wzorów kodu w języku rosyjskim sugeruje, że sprawca jest prawdopodobnie z Europy Wschodniej, twierdzi Morphisec.

„PyStoreRAT reprezentuje przesunięcie w kierunku modularnych, skryptowych implantów, które mogą dostosować się do zabezpieczeń i dostarczać wiele formatów ładunków,” podsumował Edri. „Jego wykorzystanie HTA/JS do wykonania, loaderów w Pythonie do dostarczenia oraz logika unikania świadomej Falcon sprawia, że stanowi on kamuflaż w pierwszej fazie, który rozwiązania tradycyjnej EDR wykrywają dopiero późno w łańcuchu infekcji.”

Nowe zagrożenie ze strony oprogramowania RAT z Chin

Ogłoszenie to zbiegło się z tym, gdy chińska firma zajmująca się bezpieczeństwem, QiAnXin, szczegółowo opisała inny nowy trojan zdalnego dostępu, codenamed SetcodeRat, który prawdopodobnie jest rozprzestrzeniany w całym kraju od października 2025 roku poprzez malvertising. Mówi się, że setki komputerów, w tym te należące do rządów i firm, zostały zainfekowane w ciągu miesiąca.

„Złośliwy pakiet instalacyjny najpierw weryfikuje region ofiary,” powiedział QiAnXin Threat Intelligence Center. „Jeśli nie znajduje się w obszarze mówiącym po chińsku, automatycznie się zakończy.”

Malware jest maskowane jako legalne instalatory popularnych programów, takich jak Google Chrome, a do następnej fazy przechodzi tylko wtedy, gdy język systemu odpowiada standardowym chińskim (Zh-CN), Hongkongowi (Zh-HK), Makau (Zh-MO) oraz Tajwanowi (Zh-TW). Zakończy również wykonywanie, jeśli nie uda się nawiązać połączenia z adresem URL Bilibili („api.bilibili[.]com/x/report/click/now”).

W następnej fazie uruchamiany jest program wykonywalny „pnm2png.exe”, aby załadować „zlib1.dll”, który następnie deszyfruje zawartość pliku o nazwie „qt.conf” i uruchamia go. Deszyfrowany ładunek to DLL, która zawiera ładunek RAT. SetcodeRat może łączyć się z Telegramem lub konwencjonalnym serwerem C2, aby pobierać instrukcje i prowadzić kradzież danych.

Umożliwia to malware robienie zrzutów ekranu, rejestrowanie naciśnięć klawiszy, przeglądanie folderów, ustawianie folderów, uruchamianie procesów, uruchamianie „cmd.exe”, ustawianie połączeń socket, zbieranie informacji o systemie i połączeniach sieciowych oraz aktualizowanie do nowej wersji.

View Full Content
Previous

No More Stories.

Next

Nowa kampania rozprzestrzeniania trojana PyStoreRAT za pośrednictwem GitHub

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

FacebookTwitter