Các kho lưu trữ GitHub giả mạo OSINT và tiện ích GPT phát tán mã độc PyStoreRAT

[T-X]

Các nhà nghiên cứu an ninh mạng đang cảnh báo về một chiến dịch mới lợi dụng các kho lưu trữ Python trên GitHub để phát tán một loại Trojan truy cập từ xa (RAT) dựa trên JavaScript chưa từng được ghi nhận trước đây, có tên là PyStoreRAT.

"Những kho lưu trữ này, thường được thiết kế như các tiện ích phát triển hoặc công cụ OSINT, chỉ chứa một vài dòng mã chịu trách nhiệm tải xuống tệp HTA từ xa một cách âm thầm và thực thi nó thông qua 'mshta.exe'," nhà nghiên cứu Yonatan Edri của Morphisec cho biết trong một báo cáo được chia sẻ với The Hacker News.

PyStoreRAT được mô tả là một phần mềm độc hại "đa tầng, có cấu trúc mô-đun" có khả năng thực thi các mô-đun EXE, DLL, PowerShell, MSI, Python, JavaScript và HTA. Phần mềm độc hại này cũng triển khai một công cụ đánh cắp thông tin có tên Rhadamanthys như một phần tải trọng tiếp theo.

Các chuỗi tấn công bao gồm việc phát tán phần mềm độc hại thông qua các đoạn mã Python hoặc JavaScript được nhúng trong các kho lưu trữ GitHub, giả mạo là các công cụ OSINT, bot DeFi, trình bao bọc GPT và các tiện ích liên quan đến bảo mật được thiết kế để thu hút các nhà phân tích và nhà phát triển.

Những dấu hiệu sớm nhất của chiến dịch này xuất hiện vào giữa tháng 6 năm 2025, với một loạt các "kho lưu trữ" được công bố liên tục kể từ đó. Các công cụ này được quảng bá thông qua các nền tảng mạng xã hội như YouTube và X, cũng như việc thổi phồng một cách giả tạo các chỉ số sao và lượt sao phân nhánh của các kho lưu trữ – một kỹ thuật gợi nhớ đến Mạng lưới ma Stargazers.

Các tác nhân đe dọa đứng sau chiến dịch này lợi dụng các tài khoản GitHub mới được tạo hoặc những tài khoản đã không hoạt động trong nhiều tháng để công bố các kho lưu trữ, âm thầm cài đặt phần mềm độc hại dưới dạng các bản cập nhật "bảo trì" vào tháng 10 và tháng 11 sau khi các công cụ này bắt đầu trở nên phổ biến và lọt vào danh sách các xu hướng hàng đầu của GitHub.

Trên thực tế, nhiều công cụ không hoạt động như quảng cáo, chỉ hiển thị menu tĩnh hoặc giao diện không tương tác trong một số trường hợp, trong khi những công cụ khác chỉ thực hiện các thao tác tối thiểu. Mục đích đằng sau hoạt động này là tạo cho chúng vẻ ngoài hợp pháp bằng cách lợi dụng lòng tin vốn có của GitHub và lừa người dùng thực thi đoạn mã khởi tạo chuỗi lây nhiễm.

Thao tác này kích hoạt việc thực thi một ứng dụng HTML (HTA) từ xa, từ đó phát tán phần mềm độc hại PyStoreRAT, vốn có khả năng phân tích hệ thống, kiểm tra quyền quản trị và quét hệ thống để tìm các tệp liên quan đến ví tiền điện tử, đặc biệt là các tệp liên quan đến Ledger Live, Trezor, Exodus, Atomic, Guarda và BitBox02.

Chương trình con này thu thập danh sách các sản phẩm chống virus đã cài đặt và kiểm tra các chuỗi khớp với "Falcon" (ám chỉ CrowdStrike Falcon) hoặc "Reason" (ám chỉ Cybereason hoặc ReasonLabs), có lẽ nhằm mục đích giảm khả năng bị phát hiện. Nếu phát hiện thấy chúng, chương trình sẽ khởi chạy "mshta.exe" thông qua "cmd.exe". Nếu không, nó sẽ tiến hành thực thi trực tiếp "mshta.exe".

Khả năng duy trì hoạt động được thực hiện bằng cách thiết lập một tác vụ theo lịch trình được ngụy trang dưới dạng cập nhật ứng dụng tự động của NVIDIA. Ở giai đoạn cuối, phần mềm độc hại liên hệ với máy chủ bên ngoài để lấy các lệnh cần thực thi trên máy chủ. Một số lệnh được hỗ trợ được liệt kê bên dưới:

    Tải xuống và thực thi các tập tin EXE, bao gồm cả Rhadamanthys.
    Tải xuống và giải nén các tệp lưu trữ ZIP.
    Tải xuống một tệp DLL độc hại và thực thi nó bằng lệnh "rundll32.exe".
    Lấy mã JavaScript thô và thực thi nó một cách động trong bộ nhớ bằng cách sử dụng hàm eval().
    Tải xuống và cài đặt các gói MSI
    Khởi tạo một tiến trình "mshta.exe" thứ cấp để tải thêm các payload HTA từ xa.
    Thực thi các lệnh PowerShell trực tiếp trong bộ nhớ
    Lây lan qua ổ đĩa di động bằng cách thay thế các tài liệu hợp pháp bằng các tệp lối tắt Windows (LNK) độc hại.
    Xóa tác vụ đã lên lịch để xóa dấu vết điều tra.

Hiện chưa rõ ai đứng sau vụ việc, nhưng sự hiện diện của các hiện vật và mẫu mã hóa bằng tiếng Nga cho thấy tác nhân gây hại có thể đến từ Đông Âu, theo Morphisec cho biết.

"PyStoreRAT thể hiện sự chuyển dịch sang các phần mềm độc hại dạng mô-đun, dựa trên kịch bản, có khả năng thích ứng với các biện pháp kiểm soát an ninh và phân phối nhiều định dạng dữ liệu khác nhau," Edri kết luận. "Việc sử dụng HTA/JS để thực thi, trình tải Python để phân phối và logic né tránh nhận biết Falcon tạo ra một chỗ đứng vững chắc ở giai đoạn đầu mà các giải pháp EDR truyền thống chỉ phát hiện ra ở giai đoạn muộn trong chuỗi lây nhiễm."

Thông tin này được tiết lộ khi nhà cung cấp phần mềm bảo mật Trung Quốc QiAnXin công bố chi tiết về một loại mã độc truy cập từ xa (RAT) mới có tên mã là SetcodeRat, được cho là đang lây lan khắp cả nước kể từ tháng 10 năm 2025 thông qua các chiêu trò quảng cáo độc hại. Hàng trăm máy tính, bao gồm cả máy tính của chính phủ và doanh nghiệp, được cho là đã bị nhiễm trong vòng một tháng.

"Trung tâm Tình báo Đe dọa QiAnXin cho biết : "Gói cài đặt độc hại trước tiên sẽ xác minh khu vực của nạn nhân. Nếu không phải là khu vực nói tiếng Trung, nó sẽ tự động thoát."

Phần mềm độc hại này được ngụy trang dưới dạng các trình cài đặt hợp pháp cho các chương trình phổ biến như Google Chrome và chỉ tiếp tục giai đoạn tiếp theo nếu ngôn ngữ hệ thống tương ứng với Trung Quốc đại lục (Zh-CN), Hồng Kông (Zh-HK), Ma Cao (Zh-MO) và Đài Loan (Zh-TW). Nó cũng sẽ chấm dứt quá trình thực thi nếu kết nối đến URL Bilibili ("api.bilibili[.]com/x/report/click/now") không thành công.

Ở giai đoạn tiếp theo, một tệp thực thi có tên "pnm2png.exe" được khởi chạy để tải "zlib1.dll", sau đó giải mã nội dung của một tệp có tên "qt.conf" và chạy nó. Kết quả giải mã là một tệp DLL chứa mã độc RAT. SetcodeRat có thể kết nối với Telegram hoặc máy chủ điều khiển (C2) thông thường để lấy hướng dẫn và thực hiện hành vi đánh cắp dữ liệu.

Nó cho phép phần mềm độc hại chụp ảnh màn hình, ghi lại thao tác gõ phím, đọc thư mục, thiết lập thư mục, khởi chạy tiến trình, chạy "cmd.exe", thiết lập kết nối socket, thu thập thông tin kết nối hệ thống và mạng, tự cập nhật lên phiên bản mới.