Siber güvenlik araştırmacıları, daha önce belgelenmemiş JavaScript tabanlı Uzaktan Erişim Truva Atı’nı (RAT) dağıtmak için GitHub tarafından barındırılan Python depolarından yararlanan yeni bir kampanyaya dikkat çekiyor. PyStoreRAT.
Morphisec araştırmacısı Yonatan Edri, The Hacker News ile paylaşılan bir raporda “Genellikle geliştirme yardımcı programları veya OSINT araçları temalı bu depolar, uzak bir HTA dosyasını sessizce indirmekten ve ‘mshta.exe’ aracılığıyla yürütmekten sorumlu yalnızca birkaç satır kod içeriyor” dedi.
PyStoreRAT, EXE, DLL, PowerShell, MSI, Python, JavaScript ve HTA modüllerini çalıştırabilen “modüler, çok aşamalı” bir implant olarak tanımlandı. Kötü amaçlı yazılım aynı zamanda Rhadamanthys olarak bilinen bir bilgi hırsızını da takip yükü olarak kullanıyor.
Saldırı zincirleri, kötü amaçlı yazılımın, analistlere ve geliştiricilere hitap etmek üzere tasarlanmış OSINT araçları, DeFi botları, GPT paketleyicileri ve güvenlik temalı yardımcı programlar gibi görünen GitHub depolarına gömülü Python veya JavaScript yükleyici taslakları aracılığıyla dağıtılmasını içerir.
Kampanyanın ilk işaretleri 2025 yılının Haziran ortasına kadar uzanıyor ve o zamandan bu yana sürekli olarak yayınlanan “depolar” akışı var. Araçlar, YouTube ve X gibi sosyal medya platformları aracılığıyla tanıtılıyor ve aynı zamanda veri havuzlarının yıldız ve çatal ölçümlerini yapay olarak şişiriyor; bu, Stargazers Ghost Network’ü hatırlatan bir teknik.
Kampanyanın arkasındaki tehdit aktörleri, ya yeni oluşturulan GitHub hesaplarından ya da depoları yayınlamak için aylarca hareketsiz kalan hesaplardan yararlanıyor; araçlar popülerlik kazanmaya başladıktan ve GitHub’un en popüler trend listelerine girdikten sonra Ekim ve Kasım aylarında kötü amaçlı yükü “bakım” taahhütleri şeklinde gizlice aktarıyorlar.
Aslında araçların çoğu, reklamı yapıldığı gibi çalışmıyordu; bazı durumlarda yalnızca statik menüler veya etkileşimli olmayan arayüzler görüntülüyor, diğerleri ise minimum yer tutucu işlemleri gerçekleştiriyordu. Operasyonun ardındaki amaç, GitHub’un kendine özgü güvenini kötüye kullanarak ve kullanıcıları enfeksiyon zincirini başlatmaktan sorumlu olan yükleyici saplamasını çalıştırmaya kandırarak onlara bir meşruiyet cilası vermekti.
Bu, uzaktan HTML Uygulaması (HTA) yükünün yürütülmesini etkili bir şekilde tetikler ve bu da sistemin profilini çıkarma, yönetici ayrıcalıklarını kontrol etme ve özellikle Ledger Live, Trezor, Exodus, Atomic, Guarda ve BitBox02 ile ilişkili olanlar olmak üzere kripto para birimi cüzdanıyla ilgili dosyalar için sistemi tarama yetenekleriyle birlikte gelen PyStoreRAT kötü amaçlı yazılımını sunar.
Yükleyici koçanı yüklü antivirüs ürünlerinin bir listesini toplar ve muhtemelen görünürlüğü azaltmak amacıyla “Falcon” (CrowdStrike Falcon’a bir referans) veya “Reason” (Cybereason veya ReasonLabs’a bir referans) ile eşleşen dizeleri kontrol eder. Tespit edilmesi durumunda “cmd.exe” aracılığıyla “mshta.exe”yi başlatır. Aksi takdirde, doğrudan “mshta.exe” yürütülmesiyle devam eder.
Kalıcılık, NVIDIA uygulamasının kendi kendini güncellemesi olarak gizlenen zamanlanmış bir görev oluşturularak elde edilir. Son aşamada, kötü amaçlı yazılım, ana bilgisayarda yürütülecek komutları getirmek için harici bir sunucuyla bağlantı kurar. Desteklenen komutlardan bazıları aşağıda listelenmiştir –
- Rhadamanthys dahil EXE veri yüklerini indirin ve çalıştırın
- ZIP arşivlerini indirin ve çıkarın
- Kötü amaçlı bir DLL indirir ve “rundll32.exe”yi kullanarak çalıştırır
- Ham JavaScript kodunu alın ve eval() işlevini kullanarak dinamik olarak bellekte yürütün
- MSI paketlerini indirin ve yükleyin
- Ek uzak HTA yüklerini yüklemek için ikincil bir “mshta.exe” işlemi oluşturur
- PowerShell komutlarını doğrudan bellekte yürütün
- Meşru belgeleri kötü amaçlı Windows Kısayol (LNK) dosyalarıyla değiştirerek çıkarılabilir sürücüler aracılığıyla yayılma
- Adli izi kaldırmak için zamanlanmış görevi silin
Morphisec, şu anda operasyonun arkasında kimin olduğunun bilinmediğini ancak Rusça dildeki eserlerin ve kodlama modellerinin varlığının muhtemelen Doğu Avrupa kökenli bir tehdit aktörüne işaret ettiğini söyledi.
Edri sözlerini şöyle tamamladı: “PyStoreRAT, güvenlik kontrollerine uyum sağlayabilen ve birden fazla veri yükü formatı sunabilen modüler, komut dosyası tabanlı implantlara doğru bir geçişi temsil ediyor.” “Yürütme için HTA/JS, teslimat için Python yükleyicileri ve Falcon’u tanıyan kaçınma mantığı kullanımı, geleneksel EDR çözümlerinin enfeksiyon zincirinin yalnızca sonlarında tespit edebileceği gizli bir ilk aşama dayanağı oluşturuyor.”
Açıklama, Çinli güvenlik sağlayıcısı QiAnXin’in, muhtemelen Ekim 2025’ten bu yana kötü amaçlı reklamcılık yoluyla ülke geneline yayılan SetcodeRat kod adlı başka bir yeni uzaktan erişim trojanını (RAT) ayrıntılarıyla açıklamasıyla geldi. Hükümetlere ve şirketlere ait olanlar da dahil olmak üzere yüzlerce bilgisayara bir ay içinde virüs bulaştığı söyleniyor.
QiAnXin Tehdit İstihbarat Merkezi, “Kötü amaçlı kurulum paketi öncelikle kurbanın bölgesini doğrulayacak” dedi. “Çince konuşulan bölgede değilse otomatik olarak çıkacaktır.”
Kötü amaçlı yazılım, Google Chrome gibi popüler programlar için meşru yükleyiciler olarak gizleniyor ve yalnızca sistem dili Çin Anakarası (Zh-CN), Hong Kong (Zh-HK), Makao (Zh-MO) ve Tayvan (Zh-TW) ile uyumluysa bir sonraki aşamaya geçiyor. Ayrıca bir Bilibili URL’sine (“api.bilibili) bağlantı olması durumunda yürütmeyi sonlandırır.[.]com/x/report/click/now”) başarısız oldu.
Bir sonraki aşamada, “zlib1.dll” dosyasını yan yüklemek için “pnm2png.exe” adlı bir yürütülebilir dosya başlatılır ve bu dosya daha sonra “qt.conf” adlı dosyanın içeriğinin şifresini çözer ve onu çalıştırır. Şifresi çözülmüş veri, RAT yükünü içeren bir DLL’dir. SetcodeRat, talimatları almak ve veri hırsızlığı gerçekleştirmek için Telegram’a veya geleneksel bir komuta ve kontrol (C2) sunucusuna bağlanabilir.
Kötü amaçlı yazılımın ekran görüntüleri almasına, tuş vuruşlarını günlüğe kaydetmesine, klasörleri okumasına, klasörleri ayarlamasına, işlemleri başlatmasına, “cmd.exe”yi çalıştırmasına, soket bağlantılarını ayarlamasına, sistem ve ağ bağlantı bilgilerini toplamasına, kendisini yeni bir sürüme güncellemesine olanak tanır.