Поделиться
Через GitHub распространяется опасный троян
Под видом OSINT-инструментов и DeFi-разработок раздаётся троянец удалённого доступа с весьма широким ассортиментом функций.
И снова GitHub
Через ряд репозиториев GitHub распространялся прежде незадокументированный вредонос PyStoreRAT.
Сами репозитории были нацелены на разработчиков ПО на языке Python. Часть из них выдавалась за утилиты для разработчиков или OSINT-инструменты. В них, однако, содержались несколько строк кода, назначением которого является скачивание HTA-файла (HTML Application) и запуск его через утилиту mshta.exe. Об этом пишут исследователи компании Morphisec.
PyStoreRAT описывается как модульный имплант, внедряемый в несколько стадий и способный запускать дополнительные модули в форматах EXE, DLL, PowerShell, MSI, Python, JavaScript и HTA.
В качестве полезной нагрузки второго этапа вредонос также развёртывает печально известный инфостилер Rhadamanthys.
Цепочки атак включают распространение вредоносного ПО через загрузочные заглушки, написанные на Python или JavaScript и встроенные в репозитории GitHub под видом инструментов OSINT, DeFi-ботов, GPT-надстроек и утилит, связанных с информационной безопасностью. Это свидетельствует о том, что в прицеле - аналитики и разработчики ПО.
Первые признаки кампании были отмечены в середине июня 2025 г.; позднее новые «репозитории» подобного рода стали появляться регулярно. Их продвигают через социальные медиа, а также за счёт искусственного накручивания показателей stars и forks - этим приёмом, кстати, активно пользовалась группировка Stargazers Ghost Network.
Операторы кампании публикуют новые репозитории либо со специальнох созданных аккаунтов GitHub, либо от лица учётных записей, остававшихся неактивными на протяжении нескольких месяцев.
Вредоносная нагрузка незаметно внедряется не сразу. Как правило, её незаметно вносят под видом технических коммитов уже после того как инструменты набрали какую-то популярность и попали в список trending.
Характерно, впрочем, что многие из инструментов и вовсе не содержали заявленной функциональности: в ряде случаев они отображали лишь статические меню или неинтерактивные интерфейсы, а в других выполняли минимальные заглушечные операции. Цель операции заключалась в придании им видимой легитимности.
Запуск любой из них фактически приводит к выполнению удалённого исполняемого файла HTML Application (HTA), который, в свою очередь, подгружает вредонос PyStoreRAT.
Многоглавый вредонос
Последний проводит сканирование системы, проверяет наличие прав администратора у текущего аккаунта, а также сканирует систему на наличие файлов, связанных с криптовалютными кошельками — в частности Ledger Live, Trezor, Exodus, Atomic, Guarda и BitBox02.
Загрузочная заглушка (стаб) собирает список установленных антивирусных продуктов и проверяет наличие строк, содержащих слова «Falcon» (отсылка к CrowdStrike Falcon) или «Reason» (отсылка к Cybereason или ReasonLabs), вероятно, с целью снижения заметности. В случае их обнаружения он запускает утилиту mshta.exe через cmd.exe. Если эти пакеты не обнаруживаются, mshta.exe запускается напрямую.
Закрепление в системе достигается путём создания задания планировщика, замаскированного под обновление приложения NVIDIA. На финальной стадии вредонос устанавливает связь с внешним сервером для получения команд от оператора. В их числе - загрузка и выполнение EXE-полезных нагрузок, включая Rhadamanthys; подгрузка и распаковка ZIP-архивов; загрузка вредоносной DLL и её выполнение с помощью rundll32.exe; получение «сырого» JavaScript-кода и его динамическое выполнение в памяти с использованием eval(); загрузка и установка MSI-пакетов; запуск вторичного процесса mshta.exe для загрузки дополнительных удалённых HTA-нагрузок; выполнение команд PowerShell напрямую в памяти; распространение через съёмные носители путём подмены легитимных документов вредоносными ярлыками Windows (LNK); удаление задания планировщика с целью устранения следов, которыми могли бы воспользоваться эксперты по форензике.
На данный момент неизвестно, кто стоит за данной операцией, однако наличие артефактов на русском языке и характерных паттернов кода указывает на вероятное восточноевропейское происхождение акторов, отметили в Morphisec.
«GitHub с нарастающей интенсивностью становится каналом распространения угроз и злоумышленники неплохо научились манипулировать его особенностями и функционалом, - констатирует Никита Павлов, эксперт по информационной безопасности компании SEQ. - Без фундаментального пересмотра механизмом фильтрации вредоносных компонентов изменений к лучшему ждать не приходится».
По всей видимости, кампания продолжается и по сей день.
Поделиться
Короткая ссылка
