Negli ultimi mesi è emersa una nuova minaccia informatica che sfrutta repository Python ospitati su GitHub per diffondere un Remote Access Trojan (RAT) chiamato PyStoreRAT. I ricercatori di sicurezza hanno rilevato che questi repository, spesso mascherati da strumenti di sviluppo, utility OSINT o bot DeFi, contengono solo poche righe di codice che scaricano silenziosamente un file HTA remoto, eseguendolo con mshta.exe. Questa tecnica sfrutta la fiducia implicita degli utenti verso GitHub e la popolarità delle repository, spesso gonfiata artificialmente attraverso social media come YouTube e X.
Architettura e vettori di attacco
PyStoreRAT si distingue per la sua architettura modulare e multi-stage. Può eseguire diversi tipi di file, tra cui EXE, DLL, PowerShell, MSI, Python, JavaScript e HTA, rendendolo molto versatile nei vettori di attacco. Uno degli obiettivi principali di PyStoreRAT è l’installazione di un infostealer denominato Rhadamanthys, che agisce come payload secondario nella catena d’infezione.
Modalità di diffusione
La diffusione avviene tramite loader Python o JavaScript inseriti nei repository compromessi, che attirano sviluppatori e analisti di sicurezza. Dopo aver guadagnato visibilità nelle classifiche di GitHub, questi tool vengono aggiornati con commit di “manutenzione” che introducono il codice malevolo. Spesso i tool non funzionano come promesso, mostrando solo interfacce statiche o operazioni fittizie, ma il loro scopo reale è indurre l’utente a eseguire il loader e avviare la catena d’infezione.
Tecniche di evasione e raccolta informazioni
Una volta attivato, il loader verifica la presenza di software antivirus come CrowdStrike Falcon e ReasonLabs, e raccoglie informazioni sul sistema, incluse eventuali tracce di wallet di criptovalute come Ledger Live, Trezor, Exodus, Atomic, Guarda e BitBox02. Se rileva la presenza di antivirus, tenta di eseguire mshta.exe tramite cmd.exe per ridurre la visibilità; altrimenti lo lancia direttamente.
Persistenza, comandi e capacità aggiuntive
PyStoreRAT crea persistenza tramite un task schedulato camuffato da aggiornamento NVIDIA e comunica con server esterni per ricevere comandi. Può scaricare ed eseguire EXE, estrarre archivi ZIP, eseguire DLL tramite rundll32.exe, caricare JavaScript direttamente in memoria, installare pacchetti MSI, diffondersi tramite device rimovibili e cancellare i propri task per ostacolare le indagini forensi.
Origine e considerazioni sulla rilevazione
I segnali presenti suggeriscono un attore malevolo di origine est-europea, probabilmente russo. PyStoreRAT rappresenta un’evoluzione verso RAT modulabili, che sfruttano script e tecniche di evasione avanzate, rendendo la rilevazione molto difficile per le soluzioni EDR tradizionali.
