Diffusione di payload di malware PyStoreRAT attraverso repository GitHub di utilità OSINT e GPT false

Title: Nuova Minaccia di Sicurezza: PyStoreRAT e SetcodeRAT, Due Nuovi Trojan in Circolazione

I ricercatori di sicurezza informatica stanno attirando l’attenzione su una nuova campagna che utilizza repository di GitHub per distribuire un Trojan di accesso remoto (RAT) basato su JavaScript, chiamato PyStoreRAT. Queste repository, spesso presentate come strumenti di sviluppo o di OSINT, contengono solo poche righe di codice che scaricano e eseguono un file HTA remoto tramite ‘mshta.exe’.

Il malware PyStoreRAT è stato descritto come un implant modulare e multistage che può eseguire moduli EXE, DLL, PowerShell, MSI, Python, JavaScript e HTA. Inoltre, distribuisce un furto di informazioni noto come Rhadamanthys come payload di follow-on. La campagna di attacco coinvolge la distribuzione del malware attraverso loader Python o JavaScript incorporati in repository di GitHub che si fingono strumenti di OSINT, bot DeFi, wrapper GPT e utility di sicurezza.

La campagna è iniziata a metà giugno 2025 e ha visto una costante pubblicazione di repository da allora. Gli strumenti sono promossi tramite piattaforme di social media come YouTube e X, e gli attori minacciosi dietro la campagna utilizzano account GitHub nuovi o inattivi per pubblicare le repository, inserendo il payload maligno sotto forma di commit di manutenzione. Il malware PyStoreRAT è in grado di profilare il sistema, controllare i privilegi di amminilayerre e scansionare il sistema per file relativi a portafogli di criptovaluta.

Un’altra minaccia, SetcodeRAT, è stata scoperta di recente e sembra essere diffusa in Cina dal mese di ottobre 2025 attraverso luring di pubblicità maligna. Il malware è mascherato da installatori legittimi di programmi popolari come Google Chrome e procede al prossimo stadio solo se il sistema linguistico corrisponde alla Cina continentale, Hong Kong, Macao o Taiwan. Il malware può connettersi a un server di controllo e comando (C2) o a Telegram per ricevere istruzioni e eseguire il furto di dati. Entrambe le minacce rappresentano una sfida significativa per la sicurezza informatica e richiedono una attenzione immediata per prevenirne la diffusione.