Campanha usa falsos utilitários de OSINT, DeFi, GPT e segurança para acionar um HTA remoto, instalar um RAT modular e entregar Rhadamanthys como carga posterior.
| Componente | Repositórios Python e JavaScript hospedados no GitHub, apresentados como ferramentas de OSINT, bots DeFi, wrappers GPT e utilitários de segurança, usados para distribuir o PyStoreRAT. |
| Vetor | Usuários são induzidos a executar carregadores curtos incluídos nos repositórios; esses carregadores baixam silenciosamente um arquivo HTA remoto e acionam comando operacional omitido direta ou indiretamente por comando operacional omitido. |
| Impacto | O PyStoreRAT funciona como implante modular de múltiplos estágios, executa módulos EXE, DLL, PowerShell, MSI, Python, JavaScript e HTA, perfila o host, verifica privilégios administrativos, procura arquivos associados a carteiras de criptomoedas e pode entregar Rhadamanthys. |
| Prioridade | Revisar clones e execuções recentes de projetos GitHub promovidos como OSINT, GPT, DeFi ou segurança; bloquear cadeias envolvendo HTA remoto e comando operacional omitido; auditar tarefas agendadas disfarçadas como atualização da NVIDIA. |
| Artefatos | O carregador coleta produtos antivírus instalados, procura referências a Falcon e Reason, cria persistência por tarefa agendada com aparência de autoatualização da NVIDIA e consulta servidor externo para receber instruções. |
| IoCs | Para SetcodeRat, o contexto cita checagem de conectividade com api.bilibili[.]com/x/report/click/now, execução de pnm2png.exe, sideload de zlib1.dll e descriptografia de qt.conf; esses artefatos devem ser tratados como exemplos defangados para triagem defensiva. |
Uma campanha de malware está usando repositórios no GitHub como ponto de confiança inicial para distribuir o PyStoreRAT, um trojan de acesso remoto baseado em JavaScript e descrito como um implante modular de múltiplos estágios. Os projetos maliciosos são apresentados como ferramentas de OSINT, bots DeFi, wrappers GPT e utilitários voltados a segurança, uma escolha que mira analistas, desenvolvedores e usuários inclinados a testar código encontrado em repositórios públicos. O elemento central da cadeia não é um pacote complexo: os repositórios trazem carregadores curtos em Python ou JavaScript que servem para iniciar a infecção ao buscar um HTA remoto e acionar sua execução no Windows.
A operação combina engenharia social de ecossistema com execução nativa do sistema operacional. Os repositórios foram publicados de forma contínua desde sinais iniciais em meados de junho de 2025 e promovidos em plataformas como YouTube e X. Métricas de estrelas e forks foram infladas artificialmente para aumentar a aparência de legitimidade, e alguns projetos receberam payloads maliciosos posteriormente em commits de manutenção feitos em outubro e novembro, depois de ganharem visibilidade ou entrarem em listas de tendência do GitHub. Essa sequência reduz a chance de suspeita imediata por parte de usuários que avaliam reputação apenas por popularidade, histórico superficial ou tema técnico do projeto.
O PyStoreRAT tem capacidade de executar diferentes formatos de módulo, incluindo EXE, DLL, PowerShell, MSI, Python, JavaScript e HTA. O implante também foi observado entregando Rhadamanthys como carga subsequente, o que amplia o risco para coleta de informações e roubo de dados em sistemas já comprometidos. O contexto também descreve uma segunda família, SetcodeRat, distribuída por malvertising e disfarçada como instaladores legítimos, com foco em sistemas configurados para regiões de língua chinesa. Embora sejam operações distintas, ambas reforçam o uso de carregadores encadeados, validações ambientais e canais externos para obtenção de instruções.
Nos repositórios usados para distribuir PyStoreRAT, a funcionalidade visível muitas vezes é fraca ou inexistente. Alguns projetos exibem menus estáticos, interfaces não interativas ou apenas operações mínimas de preenchimento. Essa camada serve para sustentar a aparência de ferramenta funcional, enquanto o trecho relevante do ponto de vista de segurança é o carregador embutido. Quando o usuário executa o código localmente, o carregador baixa um arquivo HTA remoto e inicia sua execução por comando operacional omitido, binário legítimo do Windows frequentemente abusado em cadeias de execução de script.
O carregador realiza checagens de ambiente antes de seguir. Ele coleta a lista de produtos antivírus instalados e procura cadeias associadas a Falcon e Reason, referências compatíveis com produtos de segurança de endpoint. Quando essas strings são encontradas, a cadeia altera a forma de iniciar comando operacional omitido, usando comando operacional omitido como intermediário; nos demais casos, a execução ocorre diretamente por comando operacional omitido. O dado não confirma evasão completa contra esses produtos, mas mostra lógica condicional para reduzir visibilidade ou alterar o padrão de execução conforme a presença de determinadas ferramentas defensivas.
Depois da etapa HTA, o PyStoreRAT instala um ponto de apoio com persistência por tarefa agendada. A tarefa é disfarçada como autoatualização de aplicativo NVIDIA, técnica que tenta se misturar a nomes plausíveis em sistemas de usuários finais e estáções de trabalho com drivers gráficos. Em seguida, o malware contata um servidor externo para buscar comandos a serem executados no host. O contexto informa que o implante pode executar múltiplos formatos de módulos, o que permite adaptar a cadeia conforme o objetivo do operador, a configuração do endpoint e a resposta das ferramentas defensivas.
O malware também realiza reconhecimento local. Ele perfila o sistema, verifica se há privilégios administrativos e procura arquivos relacionados a carteiras de criptomoedas, com menções específicas a Ledger Live, Trezor, Exodus, Atomic, Guarda e BitBox02. Essa busca não deve ser tratada como confirmação de exfiltração em todos os casos, mas delimita um interesse claro por artefatos de carteira e informações sensíveis associadas. A presença de Rhadamanthys como carga posterior adiciona uma segunda camada de risco, pois esse tipo de componente é usado para coleta de informações em ambientes comprometidos.
No caso separado do SetcodeRat, a cadeia descrita começa por instaladores maliciosos que imitam programas populares, como Google Chrome. A execução prossegue apenas quando a linguagem do sistema corresponde a China continental, Hong Kong, Macau ou Taiwan, e também depende de uma verificação de conectividade com um endpoint defangado do Bilibili. A próxima etapa envolve pnm2png.exe, sideload de zlib1.dll e descriptografia de conteúdo armazenado em qt.conf; o payload resultante embute o RAT, que pode usar Telegram ou servidor C2 convencional para recuperar instruções.
A superfície principal está em estáções Windows de usuários que baixam e executam código de repositórios públicos sem revisão adequada. O risco é maior para analistas de segurança, desenvolvedores, pesquisadores de OSINT, usuários de ferramentas de automação com GPT, operadores de DeFi e equipes que testam scripts de terceiros em máquinas com acesso a credenciais, carteiras, ambientes de desenvolvimento ou dados sensíveis. O abuso do GitHub adiciona confiança contextual, mas o vetor ainda depende de execução local do carregador pelo usuário ou por algum fluxo automatizado de teste.
Projetos que se tornam populares rapidamente, recebem estrelas e forks de forma anormal ou adicionam alterações de manutenção depois de ganhar reputação precisam ser tratados com cuidado. No caso relatado, a inclusão do payload em commits posteriores é relevante porque revisões feitas apenas no momento inicial do projeto podem não capturar a mudança maliciosa. Para organizações, o risco se estende a caches de código, ambientes de laboratório, estáções de analistas, máquinas de desenvolvimento e pipelines que baixam repositórios não verificados para execução dinâmica.
- Repositórios GitHub apresentados como OSINT, GPT, DeFi ou utilitários de segurança, especialmente quando a funcionalidade real é mínima ou não corresponde ao anúncio.
- Endpoints Windows que registram execução de HTA por comando operacional omitido após execução de scripts Python ou JavaScript obtidos de repositórios públicos.
- Estáções com arquivos ou aplicativos associados a Ledger Live, Trezor, Exodus, Atomic, Guarda e BitBox02, pois o PyStoreRAT procura artefatos ligados a essas carteiras.
- Ambientes em que tarefas agendadas com nomes relacionados a atualização NVIDIA aparecem sem instalação, caminho ou assinatura compatíveis com software legítimo.
- No caso SetcodeRat, hosts com idioma configurado para
Zh-CN,Zh-HK,Zh-MOouZh-TWe execução anômala envolvendopnm2png.exe,zlib1.dlleqt.conf.
A investigação deve começar pela correlação entre origem do código e execução. Registros de clonagem, download ou execução de repositórios recentes com temas de OSINT, GPT, DeFi e segurança devem ser comparados com eventos de processo no endpoint. Um sinal forte é a sequência em que um interpretador Python, um runtime JavaScript ou um script recém-baixado antecede a criação de processo comando operacional omitido. Quando comando operacional omitido aparece como intermediário nessa cadeia, a prioridade aumenta porque o contexto informa que essa variação ocorre quando o carregador detecta certas strings associadas a produtos de segurança.
A telemetria de persistência deve focar em tarefas agendadas criadas no período posterior à execução do repositório suspeito. Nomes que simulam autoatualização de NVIDIA precisam ser validados contra caminho do executável, assinatura, usuário criador, horário de criação e comando associado. Como o contexto não fornece hash, domínio C2 completo ou nome exato da tarefa, a detecção deve se apoiar em comportamento: HTA remoto, processo LOLBin, contato externo pós-execução, enumeração de antivírus e busca por artefatos de carteira.
Para PyStoreRAT, a defesa também deve procurar sinais de modularidade e carga posterior. Eventos de execução de EXE, DLL, PowerShell, MSI, Python, JavaScript ou HTA em sequência curta, especialmente a partir de diretórios temporários ou caminhos de usuário, merecem análise. A presença de Rhadamanthys como estágio posterior significa que a investigação deve incluir coleta de artefatos de navegador, credenciais, carteiras e arquivos sensíveis, mas sem presumir vazamento quando não houver evidência de saída de dados.
Para SetcodeRat, os sinais citados incluem instaladores maliciosos disfarçados de software popular, verificação de idioma regional, dependência de conectividade com api.bilibili[.]com/x/report/click/now, sideload de DLL e uso de Telegram ou C2 convencional para instruções. As capacidades descritas incluem captura de tela, registro de teclas, leitura e definição de pastas, início de processos, execução via shell do Windows, conexões de socket, coleta de informações de sistema e rede e atualização do próprio malware.
- Cadeia de processo com script Python ou JavaScript iniciando comando operacional omitido e, em alguns casos, comando operacional omitido como processo intermediário.
- Criação de tarefa agendada com aparência de atualização NVIDIA logo após execução de projeto obtido do GitHub.
- Consulta local a produtos antivírus instalados e checagens por strings como
FalconeReasonantes da execução do HTA. - Acesso ou enumeração de caminhos associados a carteiras Ledger Live, Trezor, Exodus, Atomic, Guarda e BitBox02.
- Execução anômala de
pnm2png.execarregandozlib1.dlle lendoqt.confem contexto de instalador suspeito, no fluxo atribuído a SetcodeRat.
A resposta deve priorizar contenção de hosts que executaram repositórios suspeitos antes de qualquer limpeza superficial. Máquinas com cadeia Python ou JavaScript para HTA remoto precisam ser isoladas para preservar evidências de processo, tarefas agendadas, arquivos temporários, conexões externas e cargas baixadas. Em seguida, as equipes devem remover persistência, invalidar artefatos de execução, verificar cargas adicionais e avaliar exposição de credenciais, carteiras e tokens presentes no endpoint. A simples exclusão do repositório local não cobre a persistência criada nem módulos já recuperados pelo implante.
No controle preventivo, organizações devem restringir execução de HTA quando esse recurso não for necessário, monitorar uso de comando operacional omitido, aplicar regras de controle de aplicação para impedir execução de scripts recém-baixados de locais não confiáveis e exigir revisão de código antes de rodar ferramentas de origem pública. Repositórios com crescimento artificial de popularidade, alterações de manutenção tardias ou funcionalidade que não corresponde ao anúncio devem entrar em fila de análise manual. Para ambientes de desenvolvimento e pesquisa, a execução de ferramentas desconhecidas deve ocorrer em máquinas descartáveis e sem acesso a segredos, carteiras, contas corporativas ou sessões autenticadas.
A mitigação também deve incluir revisão de políticas de dependência e download em pipelines. Sempre que automações clonarem repositórios públicos para teste, é necessário fixar revisões, registrar o commit executado e impedir atualização automática para alterações posteriores sem nova aprovação. Como a campanha abusou de commits de manutenção para inserir código malicioso depois de criar reputação, controles baseados apenas na reputação do projeto ou na data de criação da conta não são suficientes.
Para o fluxo de SetcodeRat, a contenção deve tratar instaladores falsos como ponto inicial. Sistemas com idioma de regiões citadas no contexto devem receber atenção quando houver execução de instaladores de origem não verificada, sideload de zlib1.dll por pnm2png.exe ou comunicação incomum com Telegram e servidores externos. Como o malware pode capturar tela, registrar teclas e coletar informações de sistema e rede, a resposta deve incluir troca de credenciais usadas no host, revisão de sessões ativas e verificação de ferramentas de acesso remoto não autorizadas.
- Bloquear ou alertar execução de HTA remoto por comando operacional omitido, principalmente quando iniciada por scripts Python ou JavaScript obtidos da internet.
- Auditar e remover tarefas agendadas com aparência de atualização NVIDIA que não correspondam a caminho, assinatura e origem legítimos.
- Revisar repositórios clonados ou baixados desde junho de 2025 com temas de OSINT, GPT, DeFi e segurança, validando commits de outubro e novembro quando existirem.
- Executar triagem de carteira e credenciais em hosts afetados, com rotação de segredos somente após isolamento e coleta de evidências essenciais.
- Fixar commits e exigir revisão antes de executar repositórios públicos em pipelines, laboratórios e estáções de analistas.
- Investigar o fluxo SetcodeRat quando houver
pnm2png.exe, sideload dezlib1.dll, leitura deqt.confe verificação regional associada a instaladores suspeitos.
0 Comentários