PyStoreRAT: скрытный GitHub‑загрузчик и бэкдор в цепочке поставок
PyStoreRAT — так называется новая вредоносная кампания, обнаруженная Morphisec Threat Labs. Злоумышленники используют публичные репозитории GitHub, нацеливаясь на ИТ‑специалистов и сообщество OSINT. Важнейшая особенность кампании — отказ от типичного оппортунизма в пользу скоординированной, долгосрочной стратегии сохранения доступа.
Ключевые факты
- Morphisec Threat Labs зафиксировала создание первоначально безопасных репозиториев с целью завоевания доверия сообщества.
- После набора популярности злоумышленники тайно внедряли так называемые «поддерживающие» коммиты, которые активировали ранее недокументированный Backdoor.
- PyStoreRAT функционирует как многоцелевой загрузчик (loader), обеспечивая скрытность и гибкость при долгосрочном доступе к скомпрометированным системам.
- В кампании используется развертывание бэкдора JavaScript/HTA, что позволяет проводить скрытые операции и эффективно обходить стандартные механизмы обнаружения.
Morphisec Threat Labs отмечает: «Первоначальные безопасные репозитории были созданы для того, чтобы завоевать популярность в сообществе, прежде чем злоумышленники тайно внедрили ‘поддерживающие’ коммиты, которые активировали ранее недокументированный Backdoor.»
Механизмы и тактика
Тактика злоумышленников сочетает элементы социальной инженерии сообщества разработчиков и техники supply chain: сначала распространение полезного OSS‑контента, затем скрытое изменение кода для включения загрузчика. Основные технические моменты:
- Использование GitHub как легитимной платформы доставки вредоносного кода.
- Стадированное внедрение: benign → доверие сообщества → «поддерживающие» коммиты → активация Backdoor.
- Loader архитектура, дающая возможность загрузки дополнительных модулей и сохранения долговременного доступа.
- Применение JavaScript/HTA для выполнения скрытых операций и обхода традиционных EDR/AV‑сигнатур.
Почему это серьёзно
PyStoreRAT демонстрирует эволюцию угроз в области цепочек поставок (supply chain): злоумышленники переходят от массовых оппортунистических кампаний к целенаправленным, ориентированным на доверие и длительное присутствие. Такие атаки сложнее обнаружить и устранить, поскольку вредоносный код маскируется под легитимный проект и распространяется через официальные каналы.
Рекомендации для ИТ‑профессионалов и сообществ OSINT
- Верифицируйте источники и авторов зависимостей: проверяйте историю коммитов и репутацию мейтенеров перед внедрением чужого кода.
- Ограничьте автоматическое выполнение сценариев JavaScript/HTA и запрещайте исполнение нецифровых подписей в доверенных окружениях.
- Используйте механизмы code signing и reproducible builds для контроля целостности поставляемого ПО.
- Мониторьте аномалии в поведении среды: нестандартные сетевые соединения, удалённая загрузка модулей, скрытые процессы.
- Применяйте принцип наименьших привилегий и сегментацию сети, чтобы ограничить потенциальную площадку для дальнейшего распространения.
- Внедрите процедуру аудита и ревью сторонних изменений в репозиториях, включая дополнительные проверки для популярных пакетов.
- Обучайте пользователей и разработчиков признакам supply chain‑угроз и правилам безопасного использования открытого ПО.
Вывод
PyStoreRAT показывает, как злоумышленники адаптируют методы к условиям открытой разработки: вместо явных взломов они инвестируют в репутацию проектов и используют репозитории как канал для долгосрочного доступа. Это сигнал для организаций и специалистов — пересмотреть процессы управления зависимостями, усилить мониторинг и внедрить дополнительные барьеры против скрытых изменений в проектах, которым вы доверяете.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



