一款技术复杂的新型威胁正潜伏在开源社区中,将开发者对 GitHub 代码仓库的信任变为攻击武器。莫菲赛克威胁实验室(Morphisec Threat Labs)发现了一款此前未被记录的远程访问木马(RAT)——PyStoreRAT,它藏身于看似无害的 Python 项目中,对受害设备发起隐形的无文件攻击。
该攻击活动自 2025 年年中起便处于活跃状态,攻击者通过打造精致却带有欺诈性质的软件工具,专门诱捕开发者与开源情报(OSINT)从业人员。
其攻击路径设计得阴险而简单。威胁攻击者在 GitHub 平台上大量投放伪装成实用工具的代码仓库,例如 “Spyder 开源情报工具”“HacxGPT”“漏洞监控程序” 等。这些仓库往往配有人工智能生成的图片与专业文档,以此伪装成合法项目。但实际上,这些项目的功能完全是虚假的表象。
研究人员指出:“这些伪装成开发工具或开源情报工具的代码仓库,仅包含寥寥数行代码,其作用是在后台静默下载远程 HTA 文件,并通过
mshta.exe程序执行该文件。”当用户运行仓库中附带的 Python 脚本(误以为自己在启动一款实用工具)时,一个隐藏的子进程会随即触发攻击感染链。“这些仓库的核心目的并非提供合法功能,而是诱导用户执行内置的 Python 或 JavaScript 加载器程序片段。”
此次攻击的恶意载荷PyStoreRAT,堪称现代恶意软件规避检测技术的典型范例。它作为一款无文件 JavaScript 植入程序,通过 Windows HTML 应用程序(HTA)子系统执行,几乎不会在磁盘上留下任何痕迹。尽管其传播载体十分轻量,但破坏力却不容小觑。
“PyStoreRAT 本质上是一款模块化的多阶段 JavaScript 植入程序,能够执行多种格式的恶意载荷,包括可执行文件(EXE)、动态链接库(DLL)、PowerShell 脚本、Windows 安装包(MSI)、Python 脚本、JavaScript 脚本以及 HTA 模块。”
这种模块化设计让攻击者能够动态调整攻击操作,既可以部署文件加密程序,也能植入高级间谍软件。在近期的攻击事件中,研究人员发现这款远程访问木马会投放臭名昭著的 “拉达曼迪斯”(Rhadamanthys)信息窃取器,用以窃取目标设备中的敏感数据。
PyStoreRAT 最令人警惕的特性之一,是它具备 **“环境感知能力”**。该恶意软件会主动扫描设备中安装的安全工具,并内置特定逻辑,专门规避主流安全检测产品的监控。
报告指出,这款恶意软件 “包含针对‘火眼猎鹰’(CrowdStrike Falcon)安全软件的明确规避逻辑”。一旦检测到火眼相关进程(如
csfalconservice)或 “睿森实验室”(ReasonLabs)等其他杀毒软件,它会立刻改变自身执行方式 —— 通过命令行包装器启动,切断进程树关联,干扰安全工具的行为监控机制。为了在受害设备重启后仍能驻留,PyStoreRAT 采用了经典的伪装策略:创建一个看似常规驱动更新任务的 Windows 计划任务。
“该任务伪装成‘英伟达应用自动更新_[全球唯一标识符]’(NVIDIA App SelfUpdate_[GUID]),被设置为每 10 分钟运行一次,或在用户登录时触发”,以此确保恶意软件能长期潜伏在目标设备中。
尽管攻击者的溯源工作仍在进行,但莫菲赛克分析师已发现指向东方的线索。报告称:“软件中出现的俄语特征代码与编程模式,表明其幕后黑手很可能来自东欧地区。”
在开发者对开源生态系统依赖度日益提升的当下,PyStoreRAT 的出现为所有人敲响警钟:必须逐行核查代码的安全性。这款恶意软件 “标志着恶意软件正朝着模块化、脚本化植入程序的方向发展,这类恶意程序能够自适应安全防护措施,并加载多种格式的恶意载荷”,已然成为当下网络安全领域的一大强劲威胁。
发表评论
您还未登录,请先登录。
登录