კიბერუსაფრთხოების მკვლევრები ყურადღებას ამახვილებენ ახალ კამპანიაზე, რომელიც GitHub-ზე განთავსებულ Python რეპოზიტორიებს იყენებს აქამდე უცნობი, JavaScript-ზე დაფუძნებული დისტანციური წვდომის ტროიანის (RAT) გავრცელებისთვის, სახელწოდებით PyStoreRAT.

„ეს რეპოზიტორიები, რომლებიც ხშირად შენიღბულია როგორც დეველოპერული ხელსაწყოები ან OSINT ინსტრუმენტები, შეიცავს მხოლოდ რამდენიმე სტრიქონ კოდს, რომლის დანიშნულებაა დისტანციური HTA ფაილის ჩუმად ჩამოტვირთვა და მისი შესრულება mshta.exe-ის მეშვეობით,“ – განაცხადა Morphisec-ის მკვლევარმა იონათან ედრიმ ანგარიშში, რომელიც გამოცემას The Hacker News გაეზიარა.

PyStoreRAT აღწერილია როგორც „მოდულური, მრავალეტაპიანი“ იმპლანტი, რომელსაც შეუძლია EXE, DLL, PowerShell, MSI, Python, JavaScript და HTA მოდულების შესრულება. გარდა ამისა, მავნე პროგრამა შემდგომი დატვირთვის სახით ავრცელებს ინფორმაციის მომპარავ მავნე კოდს, სახელწოდებით Rhadamanthys.

შეტევის ჯაჭვი მოიცავს მავნე პროგრამის გავრცელებას Python-ის ან JavaScript-ის ლოდერების საშუალებით, რომლებიც ჩაშენებულია GitHub-ის რეპოზიტორიებში და თავს ასაღებს OSINT ინსტრუმენტებად, DeFi ბოტებად, GPT-ს Wrapper-ებად და უსაფრთხოების თემატიკის ხელსაწყოებად, რაც სპეციალურად არის გათვლილი ანალიტიკოსებისა და დეველოპერების ინტერესებზე.

კამპანიის ყველაზე ადრეული კვალი 2025 წლის ივნისის შუა რიცხვებს მიეკუთვნება, რის შემდეგაც მუდმივად ქვეყნდებოდა ახალი „რეპოზიტორიები“. ეს ხელსაწყოები აქტიურად პრომოუტდებოდა სოციალურ პლატფორმებზე, მათ შორის YouTube-სა და X-ზე (ყოფილი Twitter), პარალელურად კი ხელოვნურად იზრდებოდა მათი ვარსკვლავებისა (stars) და Fork-ების რაოდენობა — მეთოდი, რომელიც ე.წ. Stargazers Ghost Network-ს მოგვაგონებს.

კამპანიის უკან მდგომი თავდამსხმელები იყენებდნენ როგორც ახლად შექმნილ GitHub ანგარიშებს, ასევე ისეთებს, რომლებიც თვეების განმავლობაში უმოქმედოდ იყო. რეპოზიტორიების გამოქვეყნების შემდეგ, ოქტომბერსა და ნოემბერში, როდესაც ინსტრუმენტებმა პოპულარობა მოიპოვა და GitHub-ის ტრენდულ სიებში მოხვდა, მავნე დატვირთვა ფარულად ემატებოდა ე.წ. „maintenance“ კომიტების სახით.

საინტერესოა, რომ ბევრი ინსტრუმენტი რეალურად არ ასრულებდა იმ ფუნქციებს, რაც აღწერაში ეწერა — ზოგ შემთხვევაში მხოლოდ სტატიკურ მენიუს ან არაინტერაქტიულ ინტერფეისს აჩვენებდა, სხვები კი მინიმალურ, სიმბოლურ ოპერაციებს ასრულებდა. ოპერაციის მიზანი იყო ლეგიტიმურობის ილუზიის შექმნა GitHub-ისადმი ნდობის ბოროტად გამოყენებით და მომხმარებლების მოტყუება, რათა მათ გაეშვათ ლოდერი, რომელიც ინფექციის ჯაჭვს იწყებს.

შედეგად, ირთვება დისტანციური HTML Application (HTA) დატვირთვა, რომელიც შემდგომ ავრცელებს PyStoreRAT მავნე პროგრამას. მას გააჩნია სისტემის პროფილირების შესაძლებლობა, ადმინისტრატორის პრივილეგიების შემოწმება და კრიპტოვალუტის საფულეებთან დაკავშირებული ფაილების ძიება, მათ შორის Ledger Live, Trezor, Exodus, Atomic, Guarda და BitBox02.

ლოდერი აგროვებს სისტემაში დაინსტალირებული ანტივირუსული პროდუქტების სიას და ამოწმებს სტრიქონებს, რომლებიც შეიცავს „Falcon“-ს (მითითება CrowdStrike Falcon-ზე) ან „Reason“-ს (მითითება Cybereason-ზე ან ReasonLabs-ზე), სავარაუდოდ ხილვადობის შესამცირებლად. თუ ასეთი უსაფრთხოების პროდუქტები აღმოჩენილია, მავნე კოდი mshta.exe-ს უშვებს cmd.exe-ის მეშვეობით; სხვა შემთხვევაში კი mshta.exe პირდაპირ სრულდება.

მავნე პროგრამა მუდმივობას აღწევს დაგეგმილი ამოცანის შექმნით, რომელიც შენიღბულია როგორც NVIDIA-ს აპლიკაციის თვითგანახლება. საბოლოო ეტაპზე მავნე კოდი უკავშირდება გარე სერვერს და იღებს ბრძანებებს, რომლებიც უნდა შესრულდეს ინფიცირებულ სისტემაზე. მხარდაჭერილი ბრძანებების ნაწილი ასეთია:
* EXE ფორმატის მავნე ფაილების ჩამოტვირთვა და გაშვება, მათ შორის Rhadamanthys* ZIP არქივების ჩამოტვირთვა და გაშლა* მავნე DLL ფაილის ჩამოტვირთვა და მისი გაშვება `rundll32.exe`-ის გამოყენებით* JavaScript-ის ნედლი კოდის მიღება და მისი დინამიკური შესრულება მეხსიერებაში `eval()` ფუნქციის მეშვეობით* MSI პაკეტების ჩამოტვირთვა და ინსტალაცია* დამატებითი დისტანციური HTA დატვირთვების ჩასატვირთად მეორადი `mshta.exe` პროცესის გაშვება* PowerShell ბრძანებების უშუალოდ მეხსიერებაში შესრულება* მოსახსნელი მედიით გავრცელება, ლეგიტიმური დოკუმენტების მავნე Windows Shortcut (LNK) ფაილებით ჩანაცვლების გზით* დაგეგმილი ამოცანის წაშლა, ციფრული კვალი რომ დაიფაროს
ამ დროისთვის უცნობია, ვინ დგას ოპერაციის უკან, თუმცა რუსულენოვანი არტეფაქტებისა და კოდის სტრუქტურის მიხედვით, დიდი ალბათობით საუბარია აღმოსავლეთ ევროპული წარმოშობის კიბერჯგუფზე, აცხადებს კომპანია Morphisec.
„PyStoreRAT ასახავს გადასვლას მოდულურ, სკრიპტებზე დაფუძნებულ იმპლანტებზე, რომლებიც ადაპტირდებიან უსაფრთხოების კონტროლებთან და სხვადასხვა ფორმატის მავნე დატვირთვების მიწოდება შეუძლიათ,“ – აღნიშნა ედრიმ.„HTA/JS-ის გამოყენება შესრულებისთვის, Python ლოდერები გავრცელებისთვის და Falcon-ის ამომცნობი თავის არიდების ლოგიკა ქმნის ფარულ საწყის შეღწევას, რომელსაც ტრადიციული EDR გადაწყვეტილებები ინფექციის ჯაჭვში მხოლოდ გვიან ეტაპზე აფიქსირებენ.“
გამოვლენა დაემთხვა იმას, რომ ჩინურმა კიბერუსაფრთხოების კომპანიამ QiAnXin-მა აღწერა კიდევ ერთი ახალი დისტანციური წვდომის ტროიანი (RAT), სახელწოდებით **SetcodeRat**, რომელიც, სავარაუდოდ, 2025 წლის ოქტომბრიდან მთელ ქვეყანაში ვრცელდება მავნე რეკლამების (malvertising) საშუალებით. ერთ თვეში ინფიცირებული აღმოჩნდა ასობით კომპიუტერი, მათ შორის სახელმწიფო უწყებებისა და კერძო კომპანიების სისტემები.
„მავნე ინსტალაციის პაკეტი თავდაპირველად ამოწმებს მსხვერპლის რეგიონს,“ – განაცხადა QiAnXin Threat Intelligence Center-მა.„თუ სისტემა ჩინურენოვან ზონაში არ მდებარეობს, პროგრამა ავტომატურად წყვეტს მუშაობას.“
მავნე პროგრამა შენიღბულია პოპულარული პროგრამების, მათ შორის Google Chrome-ის ლეგიტიმურ ინსტალერებად და შემდეგ ეტაპზე გადადის მხოლოდ იმ შემთხვევაში, თუ სისტემის ენა შეესაბამება ჩინეთის მატერიკს (Zh-CN), ჰონგ-კონგს (Zh-HK), მაკაოს (Zh-MO) ან ტაივანს (Zh-TW). ასევე, შესრულება წყდება იმ შემთხვევაში, თუ ვერ ხერხდება დაკავშირება Bilibili-ის მისამართთან:`api.bilibili[.]com/x/report/click/now`
შემდეგ ეტაპზე ეშვება ფაილი `pnm2png.exe`, რომელიც გვერდითი ჩატვირთვის (sideloading) გზით ტვირთავს `zlib1.dll`-ს. აღნიშნული DLL შიფრავს ფაილ `qt.conf`-ის შიგთავსს და ასრულებს მას. გაშიფრული დატვირთვა წარმოადგენს DLL ფაილს, რომელშიც ინტეგრირებულია RAT-ის ძირითადი კოდი.
SetcodeRat-ს შეუძლია დაუკავშირდეს როგორც Telegram-ს, ასევე ტრადიციულ მართვისა და კონტროლის (C2) სერვერს ინსტრუქციების მისაღებად და მონაცემების მოსაპარად.
მავნე პროგრამის ფუნქციები მოიცავს ეკრანის სურათების გადაღებას, კლავიშების ლოგირებას, საქაღალდეების წაკითხვასა და კონფიგურაციას, პროცესების გაშვებას, `cmd.exe`-ის გამოყენებას, სოკეტური კავშირების დაყენებას, სისტემისა და ქსელური კავშირის ინფორმაციის შეგროვებას, ასევე საკუთარი თავის განახლებას ახალ ვერსიაზე.