Hack Alerta

PyStoreRAT: supply chain atinge profissionais de TI e OSINT via GitHub

Por Redação Hack Alerta Publicado em 09/02/2026 05:04 Riscos e Ameaças Tempo de leitura: 3 min

Campanha identificada pela Morphisec ativa repositórios GitHub reativados para distribuir PyStoreRAT, um loader persistente que entrega stealers (ex.: Rhadamanthys) e adapta sua execução quando detecta produtos de segurança. Alvo declarado: administradores de TI e profissionais de OSINT. Recomendações incluem defesa comportamental e bloqueio de execução de scripts não verificados.

Introdução

Pesquisadores detectaram uma campanha de supply chain que usa reativação de contas e repositórios no GitHub para distribuir um backdoor chamado PyStoreRAT, com foco em administradores de TI e profissionais de OSINT.

Como a campanha opera

Os operadores reativam contas antigas no GitHub, publicam projetos polidos (muitas vezes com código gerado por IA) que rapidamente ganham visibilidade e, após atingirem confiança, introduzem commits de "manutenção" contendo payloads em JavaScript/HTA que servem como carregadores para PyStoreRAT, segundo a análise da Morphisec citada pelo relatório.

Capacidades observadas

PyStoreRAT funciona como um loader persistente: perfila o sistema, faz checagens de presença de produtos de segurança (o relatório cita detecção de produtos como CrowdStrike Falcon e ReasonLabs), adapta caminhos de execução para evitar detecção e entrega payloads secundários como o stealer Rhadamanthys. Também foi observada capacidade de propagação por unidades removíveis.

Infraestrutura e evasão

A infraestrutura C2 é construída com nós rotativos para resiliência e atualizações contínuas de payloads. O código contém artefatos linguísticos (strings em russo) que os pesquisadores mencionam como indicativo de origem ou alvo, mas o relatório não atribui geograficamente de forma conclusiva.

Riscos específicos

Essa campanha mira profissionais técnicos que normalmente buscam e experimentam ferramentas de terceiros — o que aumenta a taxa de sucesso do ataque. A combinação de repositórios com boa reputação e commits aparentemente benignos torna difícil para detectores automatizados identificarem o compromisso sem análise comportamental aprofundada.

Contramedidas recomendadas

  • Evitar executar scripts de repositórios não verificados; preferir builds em ambientes controlados.
  • Aplicar controles de execução restritos para scripts JavaScript/HTA e bloquear execução automática de comandos externos (ex.: curl|bash) por ferramentas de desenvolvimento.
  • Empregar defesa baseada em comportamento que não dependa apenas de assinaturas estáticas.
  • Monitorar atividade em unidades removíveis e implantar EDR com telemetria para identificar loaders persistentes e movimentos laterais.

O que falta no relato

Não foram fornecidos números absolutos de vítimas nem confirmação pública de takedown da infraestrutura C2. A Morphisec identificou a campanha e publicou análise técnica, mas o escopo real em produção — número de organizações afetadas — não foi detalhado nos materiais públicos citados.

Fonte: Morphisec, conforme compilado pelo Cyber Security News.
Baseado em publicação original de Cyber Security News
Tags: #pystorerat #supply-chain #github #osint #morphisec #rhadamanthys #loader #backdoor #security
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar