Pesquisadores de cibersegurança alertam para uma nova campanha que utiliza repositórios Python hospedados no GitHub para distribuir um Remote Access Trojan (RAT) baseado em JavaScript, até então desconhecido, chamado PyStoreRAT.
Segundo Yonatan Edri, pesquisador da Morphisec, em relatório compartilhado com o The Hacker News, esses repositórios, frequentemente disfarçados como ferramentas de desenvolvimento ou utilitários OSINT, contêm poucas linhas de código que baixam silenciosamente um arquivo remoto HTA e o executam via “mshta.exe”.
O PyStoreRAT é descrito como um implante modular e multiestágio, capaz de executar módulos EXE, DLL, PowerShell, MSI, Python, JavaScript e HTA.
Além disso, o malware instala um ladrão de informações chamado Rhadamanthys como payload secundário.
A cadeia de ataque começa com a distribuição do malware por meio de loaders em Python ou JavaScript embutidos em repositórios no GitHub que simulam ferramentas OSINT, bots DeFi, wrappers GPT e utilitários de segurança, atraindo analistas e desenvolvedores.
Os primeiros registros dessa campanha datam de meados de junho de 2025, com fluxo contínuo de repositórios publicados desde então.
Os criminosos promovem as ferramentas em redes sociais, como YouTube e X, além de inflar artificialmente as métricas de estrelas e forks dos repositórios — tática semelhante à rede Stargazers Ghost Network.
Para isso, utilizam tanto contas recém-criadas no GitHub quanto contas inativas por meses, inserindo a payload maliciosa disfarçada em commits de manutenção durante outubro e novembro, após as ferramentas ganharem popularidade e surgirem nas listas de trending do GitHub.
Muitos dos repositórios, na verdade, não funcionavam conforme prometido, apresentando apenas menus estáticos ou interfaces não interativas, com algumas realizando operações mínimas.
O objetivo era criar uma aparência legítima para explorar a confiança intrínseca do GitHub e enganar usuários a executarem o loader, iniciando a infecção.
Essa execução aciona o payload remoto HTA que, por sua vez, instala o PyStoreRAT.
O malware tem capacidade para mapear o sistema, verificar privilégios de administrador e vasculhar arquivos relacionados a carteiras de criptomoedas, especialmente Ledger Live, Trezor, Exodus, Atomic, Guarda e BitBox02.
O loader também identifica antivírus instalados, buscando nomes como “Falcon” (referência ao CrowdStrike Falcon) ou “Reason” (Cybereason ou ReasonLabs), possivelmente para evitar detecção.
Quando detectados, o malware ativa “mshta.exe” por meio do “cmd.exe”; em outras situações, executa “mshta.exe” diretamente.
Para garantir persistência, o malware cria uma tarefa agendada disfarçada como aplicativo de autoatualização da NVIDIA.
Na etapa final, ele se comunica com um servidor remoto para receber comandos, que incluem:
- Baixar e executar payloads EXE, incluindo Rhadamanthys
- Baixar e extrair arquivos ZIP
- Baixar DLL maliciosas e executá-las com “rundll32.exe”
- Buscar e executar códigos JavaScript dinâmicos em memória usando eval()
- Baixar e instalar pacotes MSI
- Criar processos secundários “mshta.exe” para carregar payloads HTA adicionais
- Executar comandos PowerShell diretamente na memória
- Propagar-se via drives removíveis, substituindo documentos legítimos por arquivos Windows Shortcut (LNK) maliciosos
- Apagar a tarefa agendada para ocultar rastros forenses
A origem da campanha ainda é desconhecida, mas vestígios no código e artefatos em russo indicam que o grupo responsável provavelmente é da Europa Oriental, segundo a Morphisec.
De acordo com Edri, “o PyStoreRAT representa a evolução dos implantes modulares baseados em scripts, capazes de se adaptar a controles de segurança e carregar múltiplos formatos de payload.
Seu uso do HTA/JS para execução, loaders em Python para distribuição e lógica de evasão voltada para o Falcon cria uma presença inicial furtiva, detectada apenas nas fases finais por soluções tradicionais de EDR.”
Na mesma linha de preocupações, o fornecedor de segurança chinês QiAnXin divulgou um novo RAT chamado SetcodeRat, possivelmente propagado na China desde outubro de 2025 por meio de malvertising.
Em um mês, centenas de máquinas, incluindo sistemas governamentais e corporativos, teriam sido infectadas.
O Centro de Inteligência de Ameaças da QiAnXin afirmou que o instalador malicioso verifica a região da vítima e só prossegue se o idioma do sistema for chinês (Mainland China, Hong Kong, Macau ou Taiwan).
Caso contrário, o malware se fecha automaticamente.
Disfarçado como instalador legítimo de programas populares como o Google Chrome, o SetcodeRat executa um arquivo chamado “pnm2png.exe” que carrega a biblioteca “zlib1.dll”, usada para descriptografar um arquivo “qt.conf” contendo a DLL maliciosa do RAT.
O malware pode se conectar via Telegram ou a um servidor convencional de command-and-control para receber ordens e roubar dados.
Entre suas funcionalidades estão captura de screenshots, keylogging, leitura e escrita em pastas, inicialização de processos, execução de “cmd.exe”, gestão de conexões socket, coleta de informações do sistema e rede, além de atualizações automáticas.
Essa operação reforça a necessidade de vigilância constante e adoção de boas práticas de segurança, especialmente em ambientes de desenvolvimento e repositórios públicos, onde a confiança pode ser explorada por agentes maliciosos.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...