PyStoreRAT: скрытный GitHub‑загрузчик и бэкдор в цепочке поставок

PyStoreRAT — так называется новая вредоносная кампания, обнаруженная Morphisec Threat Labs. Злоумышленники используют публичные репозитории GitHub, нацеливаясь на ИТ‑специалистов и сообщество OSINT. Важнейшая особенность кампании — отказ от типичного оппортунизма в пользу скоординированной, долгосрочной стратегии сохранения доступа.

Ключевые факты

  • Morphisec Threat Labs зафиксировала создание первоначально безопасных репозиториев с целью завоевания доверия сообщества.
  • После набора популярности злоумышленники тайно внедряли так называемые «поддерживающие» коммиты, которые активировали ранее недокументированный Backdoor.
  • PyStoreRAT функционирует как многоцелевой загрузчик (loader), обеспечивая скрытность и гибкость при долгосрочном доступе к скомпрометированным системам.
  • В кампании используется развертывание бэкдора JavaScript/HTA, что позволяет проводить скрытые операции и эффективно обходить стандартные механизмы обнаружения.

Morphisec Threat Labs отмечает: «Первоначальные безопасные репозитории были созданы для того, чтобы завоевать популярность в сообществе, прежде чем злоумышленники тайно внедрили ‘поддерживающие’ коммиты, которые активировали ранее недокументированный Backdoor.»

Механизмы и тактика

Тактика злоумышленников сочетает элементы социальной инженерии сообщества разработчиков и техники supply chain: сначала распространение полезного OSS‑контента, затем скрытое изменение кода для включения загрузчика. Основные технические моменты:

  • Использование GitHub как легитимной платформы доставки вредоносного кода.
  • Стадированное внедрение: benign → доверие сообщества → «поддерживающие» коммиты → активация Backdoor.
  • Loader архитектура, дающая возможность загрузки дополнительных модулей и сохранения долговременного доступа.
  • Применение JavaScript/HTA для выполнения скрытых операций и обхода традиционных EDR/AV‑сигнатур.

Почему это серьёзно

PyStoreRAT демонстрирует эволюцию угроз в области цепочек поставок (supply chain): злоумышленники переходят от массовых оппортунистических кампаний к целенаправленным, ориентированным на доверие и длительное присутствие. Такие атаки сложнее обнаружить и устранить, поскольку вредоносный код маскируется под легитимный проект и распространяется через официальные каналы.

Рекомендации для ИТ‑профессионалов и сообществ OSINT

  • Верифицируйте источники и авторов зависимостей: проверяйте историю коммитов и репутацию мейтенеров перед внедрением чужого кода.
  • Ограничьте автоматическое выполнение сценариев JavaScript/HTA и запрещайте исполнение нецифровых подписей в доверенных окружениях.
  • Используйте механизмы code signing и reproducible builds для контроля целостности поставляемого ПО.
  • Мониторьте аномалии в поведении среды: нестандартные сетевые соединения, удалённая загрузка модулей, скрытые процессы.
  • Применяйте принцип наименьших привилегий и сегментацию сети, чтобы ограничить потенциальную площадку для дальнейшего распространения.
  • Внедрите процедуру аудита и ревью сторонних изменений в репозиториях, включая дополнительные проверки для популярных пакетов.
  • Обучайте пользователей и разработчиков признакам supply chain‑угроз и правилам безопасного использования открытого ПО.

Вывод

PyStoreRAT показывает, как злоумышленники адаптируют методы к условиям открытой разработки: вместо явных взломов они инвестируют в репутацию проектов и используют репозитории как канал для долгосрочного доступа. Это сигнал для организаций и специалистов — пересмотреть процессы управления зависимостями, усилить мониторинг и внедрить дополнительные барьеры против скрытых изменений в проектах, которым вы доверяете.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: