Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña que aprovecha los repositorios de Python alojados en GitHub para distribuir un troyano de acceso remoto (RAT) basado en JavaScript no documentado anteriormente llamado PyStoreRAT.
«Estos repositorios, a menudo temáticos en torno a utilidades de desarrollo o herramientas OSINT, contienen sólo unas pocas líneas de código responsables de descargar silenciosamente un archivo HTA remoto y ejecutarlo a través de ‘mshta.exe'», dijo el investigador de Morphisec, Yonatan Edri, en un informe compartido con The Hacker News.
PyStoreRAT se describe como un implante «modular de varias etapas» que puede ejecutar módulos EXE, DLL, PowerShell, MSI, Python, JavaScript y HTA. El malware también implementa una carga útil posterior, un programa de robo de información conocido como Rhadamanthys.
La cadena de ataque incluye la distribución de malware a través de stubs de cargador de Python o JavaScript integrados en repositorios de GitHub disfrazados de herramientas OSINT, bots DeFi, contenedores GPT y utilidades con temas de seguridad diseñadas para atraer a analistas y desarrolladores.
Los primeros indicios de la campaña se remontan a mediados de junio de 2025, y desde entonces se han ido implementando “repositorios” de manera constante. La herramienta se promociona a través de plataformas de redes sociales como YouTube y X, además de inflar artificialmente las métricas de estrella y bifurcación de un repositorio. Esta es una técnica que recuerda a Stargazers Ghost Network.
Los atacantes detrás de esta campaña utilizaron cuentas de GitHub recién creadas, o cuentas que habían estado inactivas durante meses, para publicar repositorios y filtraron secretamente cargas útiles maliciosas en forma de confirmaciones de «mantenimiento» en octubre y noviembre, después de que la herramienta comenzara a ganar popularidad y apareciera en la lista de principales tendencias de GitHub.
De hecho, muchas de las herramientas no funcionaron como se anunciaba, en algunos casos simplemente mostraban menús estáticos o interfaces no interactivas, mientras que otras realizaban operaciones mínimas de marcador de posición. La intención detrás de esta operación era fingir legitimidad abusando de la confianza inherente de GitHub y engañando a los usuarios para que ejecutaran el cargador responsable de iniciar la cadena de infección.
Esto activa efectivamente la ejecución de una carga útil de aplicación HTML remota (HTA) para entregar el malware PyStoreRAT. Esta carga útil tiene la capacidad de perfilar el sistema, verificar privilegios administrativos y escanear el sistema en busca de archivos relacionados con billeteras de criptomonedas, particularmente aquellos relacionados con Ledger Live, Trezor, Exodus, Atomic, Guarda y BitBox02.
El código auxiliar del cargador recopila una lista de productos antivirus instalados y busca cadenas que coincidan con «Falcon» (una referencia a CrowdStrike Falcon) o «Reason» (una referencia a Cybereason o ReasonLabs) para reducir la visibilidad. Si se detecta, ‘cmd.exe’ iniciará ‘mshta.exe’. De lo contrario, ejecute «mshta.exe» directamente.
La persistencia se logra configurando una tarea programada que pretende actualizar automáticamente las aplicaciones NVIDIA. En la etapa final, el malware se conecta a un servidor externo para obtener comandos que se ejecutarán en el host. Algunos de los comandos admitidos se enumeran a continuación.
Descargue y ejecute la carga útil EXE que contiene Rhadamanthys Descargue y extraiga el archivo ZIP Descargue la DLL maliciosa y ejecútela usando ‘rundll32.exe’ Capture el código JavaScript sin formato y ejecútelo dinámicamente en la memoria usando eval() Descargue e instale el paquete MSI Genere un proceso secundario ‘mshta.exe’ para cargar cargas útiles HTA remotas adicionales Directamente en la memoria Ejecute comandos de PowerShell Elimine archivos programados para propagarse a través de unidades extraíbles y elimine rastros forenses reemplazando documentos legítimos con Windows malicioso atajos (LNK)
Actualmente no está claro quién está detrás de la operación, pero la presencia de artefactos en idioma ruso y patrones de codificación sugieren que un atacante probablemente sea de origen de Europa del Este, dijo Morfisek.
«PyStoreRAT representa un paso hacia implantes modulares basados en scripts que pueden adaptarse a los controles de seguridad y proporcionar múltiples formatos de carga útil», concluyó Edri. «Al utilizar HTA/JS para la ejecución, un cargador de Python para la entrega y una lógica de evasión habilitada por Falcon, se crea un andamio sigiloso de primera etapa que las soluciones EDR tradicionales sólo pueden detectar en las últimas etapas de la cadena de infección».
La divulgación se produjo cuando el proveedor de seguridad chino QiAnXin detalló otro nuevo troyano de acceso remoto (RAT) con nombre en código SetcodeRat que probablemente se ha estado propagando por todo el país a través de señuelos de publicidad maliciosa desde octubre de 2025. Se dice que cientos de computadoras, incluidas computadoras gubernamentales y corporativas, han sido infectadas en el transcurso de un mes.
«El paquete de instalación malicioso primero verifica la región de la víctima», dijo el Centro de Inteligencia de Amenazas QiAnXin. Si eres de una zona no china, finalizará automáticamente.
El malware se disfraza de instalador legítimo de programas populares como Google Chrome y sólo avanza a la siguiente etapa si el idioma del sistema es compatible con China continental (Zh-CN), Hong Kong (Zh-HK), Macao (Zh-MO) o Taiwán (Zh-TW). La ejecución también finalizará si falla la conexión a la URL de Bilibili («api.bilibili(.)com/x/report/click/now»).
El siguiente paso es iniciar un ejecutable llamado «pnm2png.exe», descargar «zlib1.dll» y descifrar y ejecutar el contenido de un archivo llamado «qt.conf». La carga útil descifrada es una DLL que incorpora la carga útil RAT. SetcodeRat puede conectarse a Telegram o a servidores tradicionales de comando y control (C2) para obtener instrucciones y realizar robo de datos.
Esto permite que el malware tome capturas de pantalla, registre pulsaciones de teclas, lea carpetas, configure carpetas, inicie procesos, ejecute cmd.exe, configure conexiones de socket, recopile información de conexión de red y del sistema y se actualice a nuevas versiones.
Source link
