近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现PyStoreRAT恶意软件持续活跃,其主要攻击目标为开发者及开源情报(OSINT)从业人员,可能导致数据泄露、系统受控、业务中断等风险。
PyStoreRAT是一种新型无文件远程访问木马(RAT),自2025年年中起处于活跃状态。该恶意软件通过在GitHub投放伪装成“Spyder开源情报工具”、“HacxGPT”等实用工具的虚假代码仓库,并使用人工智能生成图片与专业文档增强伪装,利用开发者对开源社区的信任,诱导用户运行仓库内的Python或JavaScript脚本。一旦运行将会触发隐藏子进程,在后台静默下载远程HTML应用程序文件并通过Windows原生程序mshta.exe执行,启动感染链。感染后,PyStoreRAT可在受感染设备中投放信息窃取器(如“拉达曼迪斯”)、实施勒索、植入间谍软件,或动态加载EXE、DLL、PowerShell等多种恶意载荷扩大破坏。
PyStoreRAT隐蔽性极强,一是无文件执行,通过HTML应用程序子系统运行,无磁盘痕迹;二是环境感知,内置针对安全工具的规避逻辑,发现安全软件时用命令行包装器启动以切断关联;三是模块化设计使其能动态调整攻击,还可伪装成“英伟达应用自动更新”计划任务(每10分钟或登录时运行)长久控制目标系统。
建议相关单位和用户立即组织排查,更新防病毒软件,实施全盘病毒查杀,避免运行来源不明的Python或JavaScript脚本,并可通过定期备份数据等措施,防范网络攻击风险。
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
