🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética estão chamando a atenção para uma nova campanha que está aproveitando os repositórios Python hospedados no GitHub para distribuir um Trojan de acesso remoto (RAT) baseado em JavaScript, anteriormente não documentado, chamado PyStoreRAT.
“Esses repositórios, muitas vezes temáticos como utilitários de desenvolvimento ou ferramentas OSINT, contêm apenas algumas linhas de código responsáveis por baixar silenciosamente um arquivo HTA remoto e executá-lo via ‘mshta.exe’”, disse o pesquisador da Morphisec, Yonatan Edri, em um relatório compartilhado com The Hacker News.
PyStoreRAT foi descrito como um implante "modular de vários estágios" que pode executar módulos EXE, DLL, PowerShell, MSI, Python, JavaScript e HTA. O malware também implanta um ladrão de informações conhecido como Rhadamanthys como carga útil subsequente.
As cadeias de ataque envolvem a distribuição do malware por meio de stubs de carregamento Python ou JavaScript incorporados em repositórios GitHub disfarçados de ferramentas OSINT, bots DeFi, wrappers GPT e utilitários com tema de segurança projetados para atrair analistas e desenvolvedores.
Os primeiros sinais da campanha remontam a meados de junho de 2025, com um fluxo constante de “repositórios” publicados desde então. As ferramentas são promovidas por meio de plataformas de mídia social como YouTube e X, além de aumentar artificialmente as métricas star e fork dos repositórios – uma técnica que lembra a Stargazers Ghost Network.
Os atores da ameaça por trás da campanha aproveitam contas GitHub recém-criadas ou aquelas que permaneceram inativas por meses para publicar os repositórios, deslizando furtivamente a carga maliciosa na forma de commits de “manutenção” em outubro e novembro, depois que as ferramentas começaram a ganhar popularidade e chegaram às principais listas de tendências do GitHub.
Na verdade, muitas das ferramentas não funcionavam como anunciadas, exibindo apenas menus estáticos ou interfaces não interativas em alguns casos, enquanto outras executavam operações mínimas de espaço reservado. A intenção por trás da operação era dar-lhes uma aparência de legitimidade, abusando da confiança inerente do GitHub e enganando os usuários para que executassem o stub do carregador responsável por iniciar a cadeia de infecção.
Isso efetivamente desencadeia a execução de uma carga remota de aplicativo HTML (HTA) que, por sua vez, entrega o malware PyStoreRAT, que vem com recursos para criar perfil do sistema, verificar privilégios de administrador e verificar o sistema em busca de arquivos relacionados à carteira de criptomoeda, especificamente aqueles associados a Ledger Live, Trezor, Exodus, Atomic, Guarda e BitBox02.
O stub do carregador reúne uma lista de produtos antivírus instalados e verifica as strings correspondentes a "Falcon" (uma referência ao CrowdStrike Falcon) ou "Reason" (uma referência a Cybereason ou ReasonLabs), provavelmente em uma tentativa de reduzir a visibilidade. Caso sejam detectados, lança "mshta.exe" por meio de "cmd.exe". Caso contrário, prossegue com a execução direta de "mshta.exe".
A persistência é alcançada configurando uma tarefa agendada disfarçada como uma atualização automática do aplicativo NVIDIA. Na fase final, o malware entra em contato com um servidor externo para buscar comandos a serem executados no host. Alguns dos comandos suportados estão listados abaixo -
Baixe e execute cargas EXE, incluindo Rhadamanthys
Baixe e extraia arquivos ZIP
Baixa uma DLL maliciosa e a executa usando "rundll32.exe"
Obtenha código JavaScript bruto e execute-o dinamicamente na memória usando eval()
Baixe e instale pacotes MSI
Gere um processo secundário "mshta.exe" para carregar cargas HTA remotas adicionais
Execute comandos do PowerShell diretamente na memória
Espalhe através de unidades removíveis, substituindo documentos legítimos por arquivos maliciosos de atalho do Windows (LNK).
Exclua a tarefa agendada para remover a trilha forense
Atualmente não se sabe quem está por trás da operação, mas a presença de artefatos e padrões de codificação em língua russa alude a um ator de ameaça de provável origem no Leste Europeu, disse Morphisec.
“O PyStoreRAT representa uma mudança em direção a implantes modulares baseados em scripts que podem se adaptar aos controles de segurança e fornecer vários formatos de carga útil”, concluiu Edri. “Seu uso de HTA/JS para execução, carregadores Python para entrega e lógica de evasão compatível com Falcon criam uma base furtiva de primeiro estágio que as soluções tradicionais de EDR detectam apenas no final da cadeia de infecção.”
A divulgação ocorre no momento em que o fornecedor de segurança chinês QiAnXin detalha outro novo trojan de acesso remoto (RAT) de codinome SetcodeRat que provavelmente está sendo propagado por todo o país desde outubro de 2025 por meio de iscas de malvertising. Diz-se que centenas de computadores, incluindo aqueles pertencentes a governos e empresas, foram infectados no período de um mês.
“O pacote de instalação malicioso verificará primeiro a região da vítima”, disse o Centro de Inteligência de Ameaças QiAnXin. “Se não estiver na área de língua chinesa, sairá automaticamente.”
O malware está disfarçado de instaladores legítimos
“Esses repositórios, muitas vezes temáticos como utilitários de desenvolvimento ou ferramentas OSINT, contêm apenas algumas linhas de código responsáveis por baixar silenciosamente um arquivo HTA remoto e executá-lo via ‘mshta.exe’”, disse o pesquisador da Morphisec, Yonatan Edri, em um relatório compartilhado com The Hacker News.
PyStoreRAT foi descrito como um implante "modular de vários estágios" que pode executar módulos EXE, DLL, PowerShell, MSI, Python, JavaScript e HTA. O malware também implanta um ladrão de informações conhecido como Rhadamanthys como carga útil subsequente.
As cadeias de ataque envolvem a distribuição do malware por meio de stubs de carregamento Python ou JavaScript incorporados em repositórios GitHub disfarçados de ferramentas OSINT, bots DeFi, wrappers GPT e utilitários com tema de segurança projetados para atrair analistas e desenvolvedores.
Os primeiros sinais da campanha remontam a meados de junho de 2025, com um fluxo constante de “repositórios” publicados desde então. As ferramentas são promovidas por meio de plataformas de mídia social como YouTube e X, além de aumentar artificialmente as métricas star e fork dos repositórios – uma técnica que lembra a Stargazers Ghost Network.
Os atores da ameaça por trás da campanha aproveitam contas GitHub recém-criadas ou aquelas que permaneceram inativas por meses para publicar os repositórios, deslizando furtivamente a carga maliciosa na forma de commits de “manutenção” em outubro e novembro, depois que as ferramentas começaram a ganhar popularidade e chegaram às principais listas de tendências do GitHub.
Na verdade, muitas das ferramentas não funcionavam como anunciadas, exibindo apenas menus estáticos ou interfaces não interativas em alguns casos, enquanto outras executavam operações mínimas de espaço reservado. A intenção por trás da operação era dar-lhes uma aparência de legitimidade, abusando da confiança inerente do GitHub e enganando os usuários para que executassem o stub do carregador responsável por iniciar a cadeia de infecção.
Isso efetivamente desencadeia a execução de uma carga remota de aplicativo HTML (HTA) que, por sua vez, entrega o malware PyStoreRAT, que vem com recursos para criar perfil do sistema, verificar privilégios de administrador e verificar o sistema em busca de arquivos relacionados à carteira de criptomoeda, especificamente aqueles associados a Ledger Live, Trezor, Exodus, Atomic, Guarda e BitBox02.
O stub do carregador reúne uma lista de produtos antivírus instalados e verifica as strings correspondentes a "Falcon" (uma referência ao CrowdStrike Falcon) ou "Reason" (uma referência a Cybereason ou ReasonLabs), provavelmente em uma tentativa de reduzir a visibilidade. Caso sejam detectados, lança "mshta.exe" por meio de "cmd.exe". Caso contrário, prossegue com a execução direta de "mshta.exe".
A persistência é alcançada configurando uma tarefa agendada disfarçada como uma atualização automática do aplicativo NVIDIA. Na fase final, o malware entra em contato com um servidor externo para buscar comandos a serem executados no host. Alguns dos comandos suportados estão listados abaixo -
Baixe e execute cargas EXE, incluindo Rhadamanthys
Baixe e extraia arquivos ZIP
Baixa uma DLL maliciosa e a executa usando "rundll32.exe"
Obtenha código JavaScript bruto e execute-o dinamicamente na memória usando eval()
Baixe e instale pacotes MSI
Gere um processo secundário "mshta.exe" para carregar cargas HTA remotas adicionais
Execute comandos do PowerShell diretamente na memória
Espalhe através de unidades removíveis, substituindo documentos legítimos por arquivos maliciosos de atalho do Windows (LNK).
Exclua a tarefa agendada para remover a trilha forense
Atualmente não se sabe quem está por trás da operação, mas a presença de artefatos e padrões de codificação em língua russa alude a um ator de ameaça de provável origem no Leste Europeu, disse Morphisec.
“O PyStoreRAT representa uma mudança em direção a implantes modulares baseados em scripts que podem se adaptar aos controles de segurança e fornecer vários formatos de carga útil”, concluiu Edri. “Seu uso de HTA/JS para execução, carregadores Python para entrega e lógica de evasão compatível com Falcon criam uma base furtiva de primeiro estágio que as soluções tradicionais de EDR detectam apenas no final da cadeia de infecção.”
A divulgação ocorre no momento em que o fornecedor de segurança chinês QiAnXin detalha outro novo trojan de acesso remoto (RAT) de codinome SetcodeRat que provavelmente está sendo propagado por todo o país desde outubro de 2025 por meio de iscas de malvertising. Diz-se que centenas de computadores, incluindo aqueles pertencentes a governos e empresas, foram infectados no período de um mês.
“O pacote de instalação malicioso verificará primeiro a região da vítima”, disse o Centro de Inteligência de Ameaças QiAnXin. “Se não estiver na área de língua chinesa, sairá automaticamente.”
O malware está disfarçado de instaladores legítimos
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #utilitários #osint #e #gpt #falsos #github #repos #espalham #cargas #úteis #de #malware #pystorerat
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário