کمیته رکن چهارم– پژوهشگران امنیت سایبری از کشف کمپینی خبر دادهاند که با استفاده از مخازن جعلی GitHub و معرفی آنها بهعنوان ابزارهای مرتبط با GPT یا OSINT، بدافزار PyStoreRAT را روی دستگاه قربانی نصب میکند. این بدافزار از نوع تروجان دسترسی از راه دور بوده و با قابلیتهای ماژولار و چندمرحلهای، امکان اجرای فرامین متنوع از راه دور را فراهم میکند.
به گزارش کمیته رکن چهارم، این مخازن اغلب با عنوان ابزارهای توسعهدهنده، تحلیلگر امنیتی یا رباتهای مالی ظاهر میشوند، اما تنها چند خط کد مخفی دارند که یک فایل HTA را از راه دور دریافت و با استفاده از mshta.exe اجرا میکنند. لودر اولیه، پس از بررسی سیستم، دادههایی مانند نوع آنتیویروس، اطلاعات دسترسی و فایلهای مرتبط با کیفپولهای رمزارزی را جمعآوری کرده و برای حفظ ماندگاری، یک وظیفه زمانبندیشده جعلی ایجاد میکند.
بدافزار PyStoreRAT پس از نصب، با یک سرور خارجی ارتباط برقرار کرده و فرامین متعددی مانند اجرای فایلهای EXE و DLL، اجرای کدهای PowerShell، استخراج فایلهای ZIP و حتی آلودهسازی فلشمموریها را دریافت میکند. بررسیهای انجامشده نشان میدهد این کمپین از اواسط ژوئن ۲۰۲۵ فعال بوده و کدهای آن از طریق پلتفرمهایی مانند یوتیوب و شبکه اجتماعی X تبلیغ شده است.
همزمان، شرکت چینی QiAnXin نیز از شناسایی RAT جدیدی به نام SetcodeRat خبر داده که از اکتبر ۲۰۲۵ در چین توزیع شده است. این بدافزار تنها در صورتی فعال میشود که زبان سیستم چینی باشد و از طریق تکنیک سایدلودینگ DLL اقدام به نصب جاسوسافزار میکند. قابلیتهایی مانند ثبت کلید، گرفتن اسکرینشات و اجرای فرامین سیستمی از ویژگیهای این بدافزار است.
شواهد فنی و الگوهای کدنویسی در کمپین PyStoreRAT احتمال ارتباط آن با بازیگران تهدید در اروپای شرقی را مطرح کردهاند. این حملات نشاندهنده استفاده روبهافزایش از مخازن جعلی، HTA و ابزارهای مدرن برای دور زدن سیستمهای شناسایی و اجرای بدافزار در سطح گسترده است.
