Pesquisadores de segurança cibernética identificaram uma nova campanha que utiliza repositórios Python no GitHub para disseminar um Trojan de Acesso Remoto (RAT) baseado em JavaScript, conhecido como PyStoreRAT. Esses repositórios, disfarçados como ferramentas de desenvolvimento ou utilitários OSINT, contêm códigos que baixam e executam silenciosamente um arquivo HTA remoto.
O PyStoreRAT é descrito como um implante modular e em múltiplas etapas, capaz de executar diversos tipos de módulos, incluindo EXE, DLL, PowerShell, MSI, Python, JavaScript e HTA. Além disso, ele implanta um ladrão de informações chamado Rhadamanthys como carga útil subsequente.
A campanha começou em meados de junho de 2025, com repositórios sendo publicados regularmente desde então. As ferramentas são promovidas em plataformas como YouTube e X, e os repositórios têm suas métricas de estrelas e forks artificialmente infladas para aumentar sua visibilidade.
Os autores da campanha utilizam contas do GitHub recém-criadas ou inativas para publicar os repositórios, inserindo cargas maliciosas sob a forma de commits de “manutenção”. O malware é projetado para parecer legítimo, enganando usuários a executar o stub de carregamento que inicia a cadeia de infecção.
O PyStoreRAT pode perfilar o sistema, verificar privilégios de administrador e procurar arquivos relacionados a carteiras de criptomoedas. Ele também coleta informações sobre produtos antivírus instalados e, se detectado, utiliza “mshta.exe” para continuar a execução. A persistência é mantida por meio de uma tarefa agendada disfarçada como uma atualização de aplicativo NVIDIA.
A origem dos responsáveis pela operação é desconhecida, mas há indícios de que sejam da Europa Oriental, devido a artefatos e padrões de codificação em russo. A campanha destaca uma tendência em direção a implantes modulares baseados em scripts, que se adaptam aos controles de segurança e entregam múltiplos formatos de carga útil.
Fonte:https://thehackernews.com/2025/12/fake-osint-and-gpt-utility-github-repos.html
