Эксперты компании Morphisec идентифицировали и детально проанализировали ранее не документированную вредоносную программу под названием PyStoreRAT. Этот троянец удаленного доступа (Remote Access Trojan, RAT) написан на JavaScript и отличается сложной многоступенчатой архитектурой. Его ключевой особенностью является метод доставки: злоумышленники используют облегченные загрузчики на Python и JavaScript, встроенные в репозитории на платформе GitHub. Эти репозитории часто маскируются под легитимные инструменты для разработки или средства OSINT (разведки на основе открытых источников), что повышает доверие потенциальных жертв.
Описание
Загрузчики содержат минимальное количество кода, обычно всего несколько строк. Их единственная функция - незаметно загрузить и выполнить удаленный файл HTA (HTML Application) через стандартный системный процесс mshta.exe в Windows. Такой подход делает основное вредоносное ПО полностью внешним, практически безфайловым на этапе запуска и невидимым при обычном статическом анализе кода. Следовательно, атака начинается с малозаметного действия, что значительно осложняет ее обнаружение традиционными средствами защиты.
Сама вредоносная программа PyStoreRAT представляет собой модульный имплант на JavaScript, исполняемый через подсистему HTA. Он способен получать и выполнять широкий спектр форматов полезных нагрузок (payload). В их число входят исполняемые файлы EXE, библиотеки DLL, сценарии PowerShell, установщики MSI, а также модули на Python, JavaScript и HTA. Более того, троянец включает явную логику уклонения от обнаружения платформой CrowdStrike Falcon, что указывает на высокую степень адаптации под современные среды защиты.
Архитектура угрозы построена вокруг гибкой системы получения команд и постановки задач. PyStoreRAT поддерживает механизмы устойчивости (persistence), позволяющие ему сохраняться в системе после перезагрузки. Кроме того, он обладает продвинутыми функциями распространения внутри сети, что потенциально может привести к широкомасштабной компрометации. В частности, наблюдаемые инциденты демонстрируют, что после проникновения троянец часто развертывает в качестве следующей ступени вредоносный похититель данных Rhadamanthys. Этот стелер (stealer) предназначен для кражи конфиденциальной информации, такой как учетные данные, сессии браузеров и криптовалютные кошельки.
Анализ показал, что репозитории-приманки на GitHub сознательно сделаны предельно простыми. Они содержат лишь базовый код, который вызывает удаленный HTA-скрипт. Таким образом, основная вредоносная логика не хранится в самом репозитории, а подгружается в момент атаки. Это не только затрудняет анализ, но и позволяет злоумышленникам быстро изменять финальную полезную нагрузку без необходимости модификации исходного загрузчика. Подобная тактика стала распространенным способом обхода средств защиты, сфокусированных на сканировании статических файлов.
Технические детали отчета Morphisec раскрывают внутреннее устройство троянца. PyStoreRAT использует модель, при которой команды и задачи извлекаются с управляющего сервера. Затем они выполняются в модульной среде, способной обрабатывать различные типы кода. Механизмы уклонения включают проверки на наличие процессов, связанных с CrowdStrike, и адаптацию поведения в случае их обнаружения. Это свидетельствует о целенаправленном и осознанном противодействии конкретным решениям безопасности.
Обнаружение PyStoreRAT отражает общую тенденцию в киберпреступности: злоупотребление легитимными облачными сервисами и платформами для разработчиков. GitHub, как крупнейший хостинг кода, представляет для атакующих привлекательную цель благодаря доверию со стороны IT-сообщества. Соответственно, подобные атаки часто сочетают технические ухищрения с элементами социальной инженерии, когда разработчик или системный администратор добровольно клонирует и запускает вредоносный репозиторий, считая его полезным инструментом.
Для организаций и частных пользователей данный случай служит напоминанием о необходимости повышенной бдительности. Эксперты рекомендуют тщательно проверять происхождение любого кода, загружаемого из открытых источников, даже с авторитетных платформ. Кроме того, важно внедрять многоуровневую защиту, которая включает мониторинг аномальной активности процессов вроде mshta.exe и анализ сетевого трафика на предмет подозрительных соединений. Предоставленные Morphisec индикаторы компрометации (Indicators of Compromise, IOC) позволяют сообществу безопасности обновить системы обнаружения для выявления этой конкретной угрозы.
В итоге, PyStoreRAT представляет собой серьезный и изощренный инструмент кибершпионажа или кражи данных. Его способность оставаться незаметным, использовать доверенные ресурсы и динамически адаптировать вредоносные действия делает его опасным противником. Следовательно, продолжающийся анализ подобных угроз и обмен информацией между специалистами остаются критически важными для обеспечения безопасности в цифровом пространстве. Данный отчет вносит значительный вклад в понимание современных тактик, техник и процедур (TTP), используемых злоумышленниками.
Индикаторы компрометации
URLs
- 176.65.132.123/file_cache.exe
- http://github.com/gumot0/spyder-osint
- http://github.com/Zeeeepa/spyder-osint
- http://github.come/aiyakuaile/easy_tv_live
- https://diadelosmuertos.events/voltarenhomeveh.exe
- https://github.com/adminlove520/VulnWatchDog
- https://github.com/bytillo/spyder-osint
- https://github.com/gonflare/KawaiiGPT
- https://github.com/Manojsiriparthi/spyder-osint
- https://github.com/Metaldadisbad/HacxGPT
- https://github.com/rizvejoarder/SoraMax
- https://github.com/setls/HacxGPT
- https://github.com/shivas1432/sora2-watermark-remover
- https://github.com/turyems/openfi-bot
- https://github.com/turyems/Pharos-Testnet-Bot/
- https://github.com/tyreme/spyder-osint
- https://github.com/WezRyan/spyder-osint
- https://github.com/xhyata/crypto-tax-calculator
- https://github.com/Zeeeepa/spyder-osint2
- https://manage.glimmerix.pro/api/public/dl/_xMhRkqZ
- https://manage.glimmerix.pro/api/public/dl/130lLRN_
- https://manage.glimmerix.pro/api/public/dl/13QlLRn_
- https://manage.glimmerix.pro/api/public/dl/1wZjf5ep
- https://manage.glimmerix.pro/api/public/dl/fuOMDcfu
- https://manage.glimmerix.pro/api/public/dl/uI_SC7eg
- https://manage.glimmerix.pro/api/public/dl/WUEmQqXS
- https://manage.glimmerix.pro/api/public/dl/YBjnB15-
- https://node{i}-py-store.com
- https://py-installer.cc
- https://titanarmyrary.today/uploads/2025/10/pe/gpu_optimyzer.exe
- https://www.diadelosmuertos.events/formInterstice.exe
SHA256
- 0cc0aafd097853b102945468f0ee1614b8788c5096278a5c325f83d2ed3d671c
- 103a6d55c6a1636bbb52910411de569845e9e0a51a9ebec2c6e1dd95f8c3e6ed
- 2a8c090ccb5fd8c7c587bbacfd2d0abe4d9cc377c96212c43654f7ac8935a61d
- 3d3efaf6cf12ee161b6da854d84510d7eb018809c02af956dd878793b66d54bd
- 5b821fa71a365e4a0f016ddf37bca8b7c1deb10231e6749aee4b5edc4ff7dddf
- 9677aa447b5a875e5d725c312eafd06efc0efd5eeab17e416afee77207335909
- c2e797ef17558bb54a7fca528b3312a5af68d8668a6e96b66fb4e11c6c013399
- d065538f2477164a0f25460121e435b01ce4680b58ee07a9691e5af67828b297
- d9fa208a716ce7dc78e8b2434cfcdfbe69973471bcad05b72f5ef2c1585ac7ba
- db888aa3ec408d6ce014b09177857edee983647d562ab55c9ca0325398d21d43
- dd07a4719c9562e9ad54b8261d4f7a534e1d7c2d21fa4a775a6156b96fe0fbe4
- e84fd03b3c7d3ed8598c940aea7d12e17642ed427d7d858d1f492d0d9d4ee6df
