Repositorios falsos de GitHub de tools OSINT y GPT distribuyen malware

Iniciado por AXCESS, Diciembre 14, 2025, 05:47:26 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 14, 2025, 05:47:26 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad están alertando sobre una nueva campaña que utiliza repositorios de Python alojados en GitHub para distribuir un troyano de acceso remoto (RAT) basado en JavaScript, previamente desconocido, llamado PyStoreRAT.

"Estos repositorios, a menudo presentados como utilidades de desarrollo o herramientas OSINT, contienen solo unas pocas líneas de código responsables de descargar silenciosamente un archivo HTA remoto y ejecutarlo a través de 'mshta.exe'", declaró Yonatan Edri, investigador de Morphisec, en un informe compartido con The Hacker News.

PyStoreRAT ha sido descrito como un implante "modular y multifase" capaz de ejecutar módulos EXE, DLL, PowerShell, MSI, Python, JavaScript y HTA. El malware también implementa un programa de robo de información conocido como Rhadamanthys como carga útil secundaria.

Las cadenas de ataque implican la distribución del malware a través de fragmentos de código de Python o JavaScript incrustados en repositorios de GitHub que se hacen pasar por herramientas OSINT, bots DeFi, wrappers de GPT y utilidades de seguridad diseñadas para atraer a analistas y desarrolladores.

Los primeros indicios de la campaña se remontan a mediados de junio de 2025, con una publicación constante de "repositorios" desde entonces. Las herramientas se promocionan a través de plataformas de redes sociales como YouTube y X, y también se inflan artificialmente las métricas de estrellas y bifurcaciones de los repositorios, una técnica que recuerda a la red Stargazers Ghost Network.

Los ciberdelincuentes responsables de esta campaña utilizan cuentas de GitHub recién creadas o inactivas durante meses para publicar los repositorios, introduciendo sigilosamente el código malicioso en forma de confirmaciones de "mantenimiento" durante octubre y noviembre, después de que las herramientas comenzaran a ganar popularidad y aparecieran en las listas de tendencias de GitHub.

De hecho, muchas de estas herramientas no funcionaban como se anunciaba, mostrando solo menús estáticos o interfaces no interactivas en algunos casos, mientras que otras realizaban operaciones mínimas de relleno. La intención de esta operación era darles una apariencia de legitimidad, abusando de la confianza inherente de GitHub y engañando a los usuarios para que ejecutaran el cargador responsable de iniciar la cadena de infección.

Esto activa la ejecución de una aplicación HTML remota (HTA) que, a su vez, descarga el malware PyStoreRAT, el cual tiene la capacidad de perfilar el sistema, verificar los privilegios de administrador y escanear el sistema en busca de archivos relacionados con billeteras de criptomonedas, específicamente los asociados con Ledger Live, Trezor, Exodus, Atomic, Guarda y BitBox02.

El cargador recopila una lista de productos antivirus instalados y busca cadenas de texto que coincidan con "Falcon" (una referencia a CrowdStrike Falcon) o "Reason" (una referencia a Cybereason o ReasonLabs), probablemente en un intento de reducir su visibilidad. Si se detectan, ejecuta "mshta.exe" a través de "cmd.exe". De lo contrario, procede con la ejecución directa de "mshta.exe".



La persistencia se logra configurando una tarea programada que se disfraza como una actualización automática de una aplicación de NVIDIA. En la etapa final, el malware se comunica con un servidor externo para obtener comandos que se ejecutarán en el equipo infectado. Algunos de los comandos compatibles se enumeran a continuación:

Descargar y ejecutar archivos ejecutables (EXE), incluido Rhadamanthys

Descargar y extraer archivos ZIP

Descargar una DLL maliciosa y ejecutarla mediante "rundll32.exe"

Obtener código JavaScript sin procesar y ejecutarlo dinámicamente en la memoria mediante eval()

Descargar e instalar paquetes MSI

Iniciar un proceso secundario de "mshta.exe" para cargar cargas útiles HTA remotas adicionales

Ejecutar comandos de PowerShell directamente en la memoria

Propagarse a través de unidades extraíbles reemplazando documentos legítimos con archivos de acceso directo de Windows (LNK) maliciosos

Eliminar la tarea programada para borrar las huellas forenses

Actualmente se desconoce quién está detrás de esta operación, pero la presencia de elementos en ruso y patrones de codificación sugieren que el actor de la amenaza probablemente sea de origen de Europa del Este, según Morphisec.

"PyStoreRAT representa un cambio hacia implantes modulares basados en scripts que pueden adaptarse a los controles de seguridad y distribuir múltiples formatos de carga útil", concluyó Edri. "Su uso de HTA/JS para la ejecución, cargadores de Python para la distribución y lógica de evasión compatible con Falcon crea un punto de apoyo inicial sigiloso que las soluciones EDR tradicionales detectan solo en etapas avanzadas de la cadena de infección".

Esta revelación surge a raíz de que el proveedor de seguridad chino QiAnXin detallara otro nuevo troyano de acceso remoto (RAT) con nombre en clave SetcodeRat, que probablemente se está propagando por todo el país desde octubre de 2025 a través de anuncios maliciosos. Se estima que cientos de ordenadores, incluidos los de gobiernos y empresas, han sido infectados en el transcurso de un mes.

"El paquete de instalación malicioso verifica primero la región de la víctima", declaró el Centro de Inteligencia de Amenazas de QiAnXin. "Si no se encuentra en una zona de habla china, se cierra automáticamente".

El malware se disfraza de instaladores legítimos de programas populares como Google Chrome y solo continúa con la siguiente etapa si el idioma del sistema corresponde a China continental (Zh-CN), Hong Kong (Zh-HK), Macao (Zh-MO) o Taiwán (Zh-TW). También finaliza la ejecución si no se puede establecer una conexión con la URL de Bilibili ("api.bilibili[.]com/x/report/click/now").

En la siguiente etapa, se ejecuta un archivo ejecutable llamado "pnm2png.exe" para cargar la biblioteca "zlib1.dll", que luego descifra el contenido de un archivo llamado "qt.conf" y lo ejecuta. La carga útil descifrada es una DLL que contiene el código del RAT. SetcodeRat puede conectarse a Telegram o a un servidor de comando y control (C2) convencional para recibir instrucciones y robar datos.

Permite al malware tomar capturas de pantalla, registrar las pulsaciones del teclado, leer carpetas, crear carpetas, iniciar procesos, ejecutar "cmd.exe", establecer conexiones de socket, recopilar información del sistema y de la red, y actualizarse a una nueva versión.

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario