Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña que aprovecha los repositorios de Python alojados en GitHub para distribuir un troyano de acceso remoto (RAT) basado en JavaScript no documentado anteriormente. PyStoreRAT.
«Estos repositorios, a menudo temáticos como utilidades de desarrollo o herramientas OSINT, contienen sólo unas pocas líneas de código responsables de descargar silenciosamente un archivo HTA remoto y ejecutarlo a través de ‘mshta.exe'», dijo el investigador de Morphisec, Yonatan Edri, en un informe compartido con The Hacker News.
PyStoreRAT se ha descrito como un implante «modular de varias etapas» que puede ejecutar módulos EXE, DLL, PowerShell, MSI, Python, JavaScript y HTA. El malware también implementa un ladrón de información conocido como Rhadamanthys como carga útil de seguimiento.
Las cadenas de ataque implican la distribución del malware a través de cargadores de Python o JavaScript integrados en repositorios de GitHub disfrazados de herramientas OSINT, bots DeFi, envoltorios GPT y utilidades con temas de seguridad diseñadas para atraer a analistas y desarrolladores.
Los primeros signos de la campaña se remontan a mediados de junio de 2025, y desde entonces se ha publicado un flujo constante de «repositorios». Las herramientas se promocionan a través de plataformas de redes sociales como YouTube y X, además de inflar artificialmente las métricas de estrellas y bifurcaciones de los repositorios, una técnica que recuerda a Stargazers Ghost Network.
Los actores de amenazas detrás de la campaña aprovechan cuentas de GitHub recién creadas o aquellas que permanecieron inactivas durante meses para publicar los repositorios, deslizando sigilosamente la carga maliciosa en forma de compromisos de «mantenimiento» en octubre y noviembre después de que las herramientas comenzaron a ganar popularidad y aterrizaron en las listas de principales tendencias de GitHub.
De hecho, muchas de las herramientas no funcionaron como se anunciaban, mostrando solo menús estáticos o interfaces no interactivas en algunos casos, mientras que otras realizaron operaciones mínimas de marcador de posición. La intención detrás de la operación era darles una apariencia de legitimidad abusando de la confianza inherente de GitHub y engañando a los usuarios para que ejecutaran el código auxiliar del cargador responsable de iniciar la cadena de infección.
Esto activa efectivamente la ejecución de una carga útil de aplicación HTML remota (HTA) que, a su vez, entrega el malware PyStoreRAT, que viene con capacidades para perfilar el sistema, verificar privilegios de administrador y escanear el sistema en busca de archivos relacionados con billeteras de criptomonedas, específicamente aquellos asociados con Ledger Live, Trezor, Exodus, Atomic, Guarda y BitBox02.
El código auxiliar del cargador recopila una lista de productos antivirus instalados y verifica cadenas que coinciden con «Falcon» (una referencia a CrowdStrike Falcon) o «Reason» (una referencia a Cybereason o ReasonLabs), probablemente en un intento de reducir la visibilidad. En caso de que se detecten, lanza «mshta.exe» mediante «cmd.exe». De lo contrario, continúa con la ejecución directa de «mshta.exe».
La persistencia se logra configurando una tarea programada disfrazada de actualización automática de la aplicación NVIDIA. En la etapa final, el malware contacta a un servidor externo para buscar comandos que se ejecutarán en el host. Algunos de los comandos admitidos se enumeran a continuación:
- Descargue y ejecute cargas útiles EXE, incluido Rhadamanthys
- Descargar y extraer archivos ZIP
- Descarga una DLL maliciosa y la ejecuta usando «rundll32.exe»
- Obtenga código JavaScript sin formato y ejecútelo dinámicamente en la memoria usando eval()
- Descargar e instalar paquetes MSI
- Genere un proceso secundario «mshta.exe» para cargar cargas útiles de HTA remotas adicionales
- Ejecute comandos de PowerShell directamente en la memoria
- Se propaga a través de unidades extraíbles reemplazando documentos legítimos con archivos maliciosos de accesos directos de Windows (LNK)
- Eliminar la tarea programada para eliminar el rastro forense
Actualmente no se sabe quién está detrás de la operación, pero la presencia de artefactos en idioma ruso y patrones de codificación alude a un actor de amenazas de probable origen en Europa del Este, dijo Morphisec.
«PyStoreRAT representa un cambio hacia implantes modulares basados en scripts que pueden adaptarse a los controles de seguridad y ofrecer múltiples formatos de carga útil», concluyó Edri. «Su uso de HTA/JS para la ejecución, cargadores de Python para la entrega y lógica de evasión compatible con Falcon crea un punto de apoyo sigiloso en la primera etapa que las soluciones EDR tradicionales detectan solo en las últimas etapas de la cadena de infección».
La divulgación se produce cuando el proveedor de seguridad chino QiAnXin detalló otro nuevo troyano de acceso remoto (RAT) con nombre en código SetcodeRat que probablemente se esté propagando por todo el país desde octubre de 2025 a través de señuelos de publicidad maliciosa. Se dice que cientos de ordenadores, incluidos los de gobiernos y empresas, resultaron infectados en el lapso de un mes.
«El paquete de instalación malicioso primero verificará la región de la víctima», dijo el Centro de Inteligencia de Amenazas QiAnXin. «Si no está en el área de habla china, saldrá automáticamente».
El malware se disfraza de instaladores legítimos de programas populares como Google Chrome y pasa a la siguiente etapa sólo si el idioma del sistema corresponde a China continental (Zh-CN), Hong Kong (Zh-HK), Macao (Zh-MO) y Taiwán (Zh-TW). También finaliza la ejecución si la conexión a una URL de Bilibili («api.bilibili(.)com/x/report/click/now») no tiene éxito.
En la siguiente etapa, se inicia un ejecutable llamado «pnm2png.exe» para descargar «zlib1.dll», que luego descifra el contenido de un archivo llamado «qt.conf» y lo ejecuta. La carga útil descifrada es una DLL que incorpora la carga útil RAT. SetcodeRat puede conectarse a Telegram o a un servidor de comando y control (C2) convencional para recuperar instrucciones y llevar a cabo el robo de datos.
Permite que el malware tome capturas de pantalla, registre pulsaciones de teclas, lea carpetas, establezca carpetas, inicie procesos, ejecute «cmd.exe», establezca conexiones de socket, recopile información de conexión de red y sistema y se actualice a una nueva versión.
