СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
15.12.2025
#ИБ

PyStoreRAT: JavaScript-RAT через обманчиво безопасные репозитории GitHub

Morphisec обнаружила ранее не идентифицированного троянца удаленного доступа на основе JavaScript — PyStoreRAT. Злоумышленники распространяют его через обманчиво безопасные репозитории Python на GitHub, маскируя под полезные утилиты разработки и инструменты OSINT. Отчет показывает, что злоумышленники используют доверие к платформе для доставки многоэтапной, сложно устроенной полезной нагрузки.

Краткая суть угрозы

PyStoreRAT — это многоэтапный JavaScript‑RAT, который:

  • распространяется через малокодовые репозитории на GitHub;
  • загружает вредоносный .hta-файл и выполняет его через подсистему Windows (mshta.exe);
  • использует сложные методы запутывания и уклонения, включая XOR-шифрование и процессное маскирование;
  • устанавливает связь с серверами command and control (C2) и получает команды в формате JSON;
  • может привести к деплою дополнительной вредоносной нагрузки — Stealer.Rhadamantys.

Как происходит распространение

Атака начинается с публикации на GitHub «легитимно выглядящих» репозиториев, содержащих минимальный загрузочный код на Python или JavaScript. При запуске этот код скачивает вредоносный HTA‑файл и инициирует его выполнение через mshta.exe. С течением времени загрузчики были усложнены запутыванием и структурными изменениями, чтобы избежать обнаружения при поверхностном анализе.

Технический разбор и тактики уклонения

Отдельные технические особенности PyStoreRAT, отмеченные в исследовании:

  • Полезная нагрузка на JScript зашифрована и включает несколько уровней уклонения;
  • Критичные строки — URL C2 и пути к файлам — скрываются в функции, которая восстанавливает их во время выполнения с помощью XOR-шифрования;
  • Контекстная функция собирает системную телеметрию и регистрирует устройство в инфраструктуре C2;
  • При обнаружении присутствия средств защиты вредоносное ПО пытается «взломать» дерево процессов, порождая потомство mshta.exe от cmd.exe незаметно для пользователя и некоторых средств защиты.

Удержание и механизм работы с C2

Для закрепления на системе PyStoreRAT использует запланированные задачи, замаскированные под системный процесс: «NVIDIA App SelfUpdate_GUID». Эти задачи запускаются автоматически каждые 10 минут или при входе пользователя в систему. Обмен с сервером C2 организован в два этапа:

  • первый шаг — отправка профиля жертвы и получение уникального токена сеанса;
  • второй шаг — получение и исполнение команд, переданных в формате JSON.

Связанные нагрузки и инциденты

В исследовании зафиксирована цепочка атак, которая в итоге привела к попытке развернуть Stealer.Rhadamantys. Благодаря мерам безопасности Morphisec эта последняя полезная нагрузка была обнаружена и остановлена, что предотвратило дальнейший компромисс.

Хронология

  • Активность кампании начала возрастать примерно с середины 2025 года;
  • Первые регистрации доменов C2 были отмечены в сентябре 2025 года, что указывает на подготовку инфраструктуры для связи со скомпрометированными машинами.

Что это значит для организаций

PyStoreRAT демонстрирует, как злоумышленники эксплуатируют доверие к публичным репозиториям и используют сложные многоэтапные векторы атак. Организациям следует учитывать следующее:

  • контролировать исходный код и зависимости, загружаемые из открытых репозиториев (особенно с минимальным кодом и неоднозначной пользой);
  • мониторить запуск mshta.exe и необычную активность связанного cmd.exe и дочерних процессов;
  • проверять запланированные задачи на наличие замаскированных имен, например шаблонов вроде «NVIDIA App SelfUpdate_*»;
  • внедрять поведенческие правила в EDR/AV и детектировать аномалии в сетевом трафике к подозрительным C2‑серверам;
  • использовать многослойную защиту: блокировки исполнения непроверенных HTA/скриптов, белые списки приложений и регулярный аудит используемых библиотек.

Вывод

PyStoreRAT — это пример эволюции вредоносной инженерии: злоумышленники используют легитимные платформы (GitHub), минималистичные загрузчики и продвинутые техники запутывания для долгосрочного вторжения. Отчет Morphisec подчёркивает необходимость бдительности при взаимодействии с открытыми репозиториями и важность многоуровневой защиты для своевременного обнаружения и предотвращения подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: