مخازن جعلی OSINT و ابزارهای GPT در GitHub، بدافزار PyStoreRAT را توزیع می‌کنند!

پژوهشگران امنیت سایبری از کشف یک کمپین پیچیده خبر داده‌اند که با سوءاستفاده از مخازن جعلی OSINT به ربانهای Python و JavaScript در GitHub، بدافزار جدیدی به نام PyStoreRAT را منتشر می‌کند. این مخازن عمدتاً خود را به‌عنوان ابزارهای OSINT، بات‌های DeFi، ابزارهای GPT، یا یوتیلیتی‌های امنیتی جا می‌زنند و جامعه توسعه‌دهندگان و تحلیلگران را هدف می‌گیرند.

🔍 بدافزار PyStoreRAT چیست؟

PyStoreRAT یک RAT ماژولار و چندمرحله‌ای مبتنی بر JavaScript است که قابلیت اجرای طیف گسترده‌ای از payloadها را دارد، از جمله:

• EXE

• DLL

• PowerShell

• MSI

• Python

• JavaScript

• HTA

در مراحل بعدی، این بدافزار استیلر Rhadamanthys را نیز برای سرقت اطلاعات حساس دانلود و اجرا می‌کند.

🧬 زنجیره حمله (Attack Chain)

سناریوی حمله به‌صورت خلاصه:

1. کاربر یک مخزن GitHub ظاهراً معتبر (OSINT / GPT Utility / DeFi Bot) را کلون یا اجرا می‌کند

2. کد شامل چند خط ساده Loader است

3. Loader یک HTA فایل مخرب را از راه دور دانلود می‌کند

4. اجرای HTA از طریق mshta.exe

5. استقرار PyStoreRAT در حافظه

6. دانلود payloadهای ثانویه (از جمله Rhadamanthys)

نکته مهم: بسیاری از این ابزارها اصلاً کار نمی‌کنند و فقط منوی نمایشی یا عملکرد نمایشی دارند؛ هدف صرفاً جلب اعتماد است.

🪤 سوءاستفاده از اعتماد GitHub

مهاجمان:

• از اکانت‌های تازه‌ساخته‌شده یا اکانت‌های Dormant استفاده می‌کنند

• پس از محبوب‌شدن مخزن، payload را در قالب commitهای maintenance اضافه می‌کنند

• با دستکاری مصنوعی ستاره‌ها و forkها (مشابه Stargazers Ghost Network) اعتبار جعلی ایجاد می‌کنند

• ابزارها را در YouTube و X تبلیغ می‌کنند

• 💰 تمرکز ویژه روی رمزارز

  PyStoreRAT سیستم قربانی را برای فایل‌ها و داده‌های مرتبط با کیف پول‌های زیر اسکن می‌کند:

  • Ledger Live

  • Trezor

  • Exodus

  • Atomic

  • Guarda

  • BitBox02

  همچنین سطح دسترسی ادمین، آنتی‌ویروس‌های نصب‌شده و محیط سیستم بررسی می‌شود.

🕵️‍♂️ تکنیک‌های فرار از شناسایی

• بررسی وجود EDRها با جستجوی رشته‌هایی مثل:

  • Falcon (CrowdStrike)

  • Reason (Cybereason / ReasonLabs)

• اجرای شرطی mshta.exe برای کاهش دید EDR

• اجرای payload کاملاً در حافظه

• Persistence با Scheduled Task جعلی به نام آپدیت NVIDIA

🎮 قابلیت‌های بدافزار PyStoreRAT

برخی از دستورات پشتیبانی‌شده:

• دانلود و اجرای EXE (از جمله Rhadamanthys)

• اجرای DLL با rundll32.exe

• اجرای PowerShell در حافظه

• اجرای JavaScript با eval()

• نصب MSI

• اجرای HTAهای اضافی

• انتشار از طریق USB با جایگزینی فایل‌ها با LNK مخرب

• حذف ردپا با پاک‌کردن Scheduled Task

🧠 هویت مهاجمان

هویت دقیق مهاجمان مشخص نیست، اما:

• artefactهای زبان روسی

• الگوهای کدنویسی خاص
  نشان‌دهنده خاستگاه احتمالی اروپای شرقی است.

🧩 تهدید موازی: SetcodeRat

در ادامه، شرکت QiAnXin از RAT دیگری به نام SetcodeRat پرده برداشت که:

• از اکتبر ۲۰۲۵ در چین فعال است

• از طریق malvertising منتشر می‌شود

• فقط روی سیستم‌هایی با زبان چینی اجرا می‌شود

• از Telegram یا C2 کلاسیک برای فرماندهی استفاده می‌کند

🛡️ جمع‌بندی دفاعی

این کمپین نشان می‌دهد:

• GitHub دیگر صرفاً یک منبع کد نیست، بلکه سطح حمله است

• اعتماد کور به OSINT Tools و GPT Wrappers خطرناک است

• EDR بدون کنترل اجرای mshta.exe، HTA و Scriptها کور می‌شود

اقدامات پیشنهادی:

• محدودسازی mshta.exe

• Script Control و AMSI

• بررسی SBOM ابزارهای تحقیقاتی

• مانیتورینگ رفتار GitHub-based tools

• آموزش تیم‌های SOC و Threat Intel

منابع: