- PyStoreRAT est un RAT modulaire distribué via de faux dépôts GitHub qui se font passer pour des outils OSINT, des bots DeFi et des utilitaires GPT.
- La chaîne d'infection utilise des chargeurs minimaux dans Python ou JavaScript pour télécharger des HTA distants et les exécuter avec mshta.exe, déployant un implant avec plusieurs modules.
- El malware Il assure la persistance des tâches planifiées et communique avec les serveurs C2 pour les exécuter. commandes avancé et déploie généralement le voleur d'informations Rhadamanthys.
- Sa conception reflète une tendance vers des implants basés sur des scripts hautement furtifs, similaires à d'autres menaces comme SetcodeRat, qui exploitent la confiance dans les logiciels et services légitimes.
El Le logiciel malveillant PyStoreRAT Elle est devenue l'une des menaces les plus curieuses et inquiétantes de ces derniers temps pour les chercheurs, les développeurs et les passionnés. crypto-monnaiesCette famille de logiciels malveillants combine des techniques de ingénierie sociale, abus de GitHub et modules d'accès à distance avancés qui lui permettent de prendre le contrôle du système, de voler des informations et de déployer silencieusement d'autres codes malveillants.
Loin d'être « juste un autre rat », PyStoreRAT se distingue par son approche modulaire, sa chaîne d'infection en plusieurs étapes et son utilisation astucieuse de faux dépôts. publiés sur GitHub qui simulent des outils OSINT, des bots DeFi ou des utilitaires liés à GPT et cybersécuritéTout cela s'accompagne de campagnes et de techniques sur les réseaux sociaux visant à gonfler artificiellement les indicateurs de popularité, afin que les victimes aient l'impression de télécharger un produit légitime, utile et populaire.
Qu'est-ce que PyStoreRAT et pourquoi est-il si dangereux ?
PyStoreRAT est un cheval de Troie d'accès à distance (RAT) principalement basé sur JavaScript. qui fonctionne comme un implant modulaire à plusieurs étapes. Bien que le leurre initial soit généralement écrit en Python ou JavaScript, le cœur du RAT repose sur des applications HTML (HTA) et des scripts qui s'exécutent à travers mshta.exeune utilisation légitime de Windows utilisé pour traiter les applications HTML.
Cet implant offre aux attaquants un ensemble de capacités très flexibles : il peut exécuter des modules dans différents formats (EXE, DLL, PowerShell, MSI, Python, JavaScript et HTA)Cela facilite l'adaptation de la campagne à différents environnements et permet de contourner les contrôles de sécurité de base. De plus, elle intègre des fonctionnalités de reconnaissance système, de vol d'informations et de déploiement de logiciels malveillants supplémentaires.
Un élément clé est que PyStoreRAT est souvent accompagné du voleur d'informations Rhadamanthys.Rhadamanthys est un logiciel malveillant spécialisé dans le vol d'identifiants, de données de navigation et, en particulier, d'informations relatives aux cryptomonnaies. Ce RAT (Remote Access Trojan) sert de point d'entrée polyvalent, tandis que Rhadamanthys se charge de l'exfiltration massive de données.
Un autre aspect particulièrement inquiétant est son orientation vers des profils à forte valeur ajoutée tels que les analystes de sécurité, les administrateurs système et les utilisateurs avancésCes utilisateurs, lorsqu'ils téléchargent des outils depuis GitHub, pensent souvent avoir tout sous contrôle et que « tout est vérifié », mais la conception minimaliste des chargeurs et l'utilisation de dépôts apparemment fiables rendent la détection précoce beaucoup plus difficile.
En termes d'évolution des menaces, PyStoreRAT représente une étape supplémentaire vers des implants hautement discrets basés sur des scripts, conçus pour coexister avec les commandes EDR modernesretarder autant que possible sa détection grâce à des techniques d'évasion et exécution en mémoire.
Campagne GitHub : faux dépôts et abus de confiance
Des chercheurs ont documenté un Campagne soutenue de distribution de PyStoreRAT via des dépôts malveillants hébergés sur GitHubCes dépôts sont présentés comme des projets utiles pour la communauté technique, ce qui augmente considérablement les chances de les télécharger et de les exécuter.
Ces dépôts traitent généralement d'outils OSINT. Ces outils comprennent des dispositifs de collecte d'informations publiques, des robots DeFi automatisant les stratégies de trading, des interfaces ou clients non officiels liés à GPT, et des utilitaires de sécurité promettant des audits ou des améliorations de la protection. Dans de nombreux cas, la documentation et le fichier README semblent tout à fait corrects, voire professionnels.
Pour maximiser leur portée, les attaquants font la promotion de ces projets sur réseaux sociaux comme YouTube et X (anciennement Twitter)où des vidéos, des discussions et des messages sont publiés et renvoient directement au dépôt. De plus, ils manipulent des indicateurs tels que les étoiles et les forks, en utilisant de faux comptes ou des comptes automatisés, à la manière de Réseau fantôme des astronomesafin que le projet apparaisse dans la liste des « dépôts populaires » de GitHub.
Un détail particulièrement perfide est que Les acteurs créent de nouveaux comptes ou réactivent d'anciens comptes qui étaient inactifs depuis des mois.pour faire croire que le développement a « repris vie ». Une fois que l'outil gagne en popularité et devient connu, ils ajoutent le code malveillant dans de prétendus « commits de maintenance » publiés des semaines ou des mois plus tard, lorsqu'un certain niveau de confiance dans le projet a été établi.
Dans de nombreux cas, les projets ne fonctionnent même pas comme promis : Certains outils n'affichent que des menus ou des interfaces statiques, sans aucune fonctionnalité réelle.Tandis que d'autres se contentent d'actions minimales et superficielles. Leur objectif n'est pas d'apporter une réelle valeur ajoutée, mais de paraître légitimes. le temps suffisamment pour que l'utilisateur exécute le chargeur malveillant « comme une partie naturelle » de l'utilisation de l'outil.
Chaîne de transmission : de la charge minimale au contrôle total
Le cœur de la campagne réside dans un une chaîne d'infection à plusieurs étapes très bien conçueTout commence par un petit extrait de code Python ou JavaScript dans le dépôt GitHub. Ce premier élément est ce qui relie tout le reste.
Normalement, le fichier que l'utilisateur exécute contient quelques lignes de code seulementElles paraissent inoffensives ou discrètes. Leur véritable fonction est de se connecter à un serveur distant contrôlé par l'attaquant, de télécharger un fichier HTA et de l'exécuter. mshta.exeCette technique exploite un outil légitime de Windows, réduisant ainsi les soupçons de certains systèmes de sécurité moins avancés.
Le chargeur inclut également une logique de reconnaissance très basique mais efficace : compile la liste des produits antivirus installés Il analyse le système et recherche les chaînes de caractères liées à « Falcon » (associé à CrowdStrike Falcon) ou à « Reason » (lié à des solutions comme Cybereason ou ReasonLabs). S'il détecte l'un de ces noms, il modifie le comportement de mshta.exe afin de réduire sa visibilité.
Plus précisément, lorsqu'il identifie ces produits, le logiciel malveillant lancer mshta.exe via cmd.exeCela ajoute une couche intermédiaire capable de modifier certains comportements surveillés par les solutions de sécurité. Si elle ne détecte rien de suspect, elle exécute directement mshta.exe, réduisant ainsi le nombre d'étapes et accélérant le processus d'infection.
Une fois le HTA distant chargé, la phase suivante commence : la livraison et le déploiement de PyStoreRAT À proprement parler, c'est là que commence le jeu des modules, de la persistance et de la communication avec le serveur de commande et de contrôle (C2), c'est là que les attaquants prennent le contrôle du système infecté.
Fonctionnalités internes de PyStoreRAT et modules pris en charge
Dès l'instant où le système HTA télécharge et exécute l'implant, PyStoreRAT agit comme une plateforme d'exécution de charge utile flexibleSon architecture modulaire permet aux attaquants de charger différents types de composants en fonction des besoins de chaque campagne ou de chaque victime spécifique.
Parmi ses atouts les plus remarquables figure la possibilité de Exécuter des fichiers binaires EXE, charger des DLL, lancer des scripts PowerShell, installer des packages MSI et même déployer d'autres scripts en Python, JavaScript ou de nouvelles HTA directement depuis le RAT. Cette polyvalence permet au malware de s'adapter rapidement à différents scénarios et de contourner les défenses basées sur des signatures statiques.
De plus, le RAT effectue un phase de profilage du système Ce système identifie des informations telles que le système d'exploitation, les autorisations utilisateur, la configuration de l'environnement et d'autres données permettant de déterminer le type de charge utile le plus approprié dans chaque situation. Il vérifie également les privilèges d'administrateur, ce qui ouvre la voie à des actions plus intrusives.
L'une de ses fonctions particulièrement sensibles est sa capacité à Analyser le système à la recherche de fichiers liés aux portefeuilles de cryptomonnaies.PyStoreRAT effectue des recherches de chemins et de fichiers associés à des applications telles que Ledger Live, Trezor, Exodus, Atomic Wallet, Guarda Wallet et BitBox02, sans exploiter les vulnérabilités de ces programmes, mais en tirant parti des informations stockées localement pour préparer des vols ultérieurs.
Parallèlement, le RAT facilite Exécution du voleur d'informations Rhadamanthys en tant que charge utile secondaireUne fois téléchargé, il collecte les mots de passe, les cookies, les données de navigation et d'autres informations de grande valeur qui peuvent être envoyées au serveur C2 ou revendues sur les marchés noirs.
Persistance, mouvements ultérieurs et commandes C2
Pour éviter que l'infection ne disparaisse après un simple redémarrage, PyStoreRAT établit un mécanisme de persistance basé sur des tâches planifiéesPlus précisément, il crée une tâche dans le Planificateur de tâches Windows avec un nom qui imite un processus de mise à jour logicielle légitime.
Dans de nombreux cas, cette tâche apparaît déguisée en prétendu système de mise à jour automatique des applications NVIDIAprofitant du fait que de nombreux utilisateurs ont conducteurs ou des outils graphiques installés, et ces types d'entrées passent facilement inaperçus dans le système. De cette manière, le logiciel malveillant peut se relancer périodiquement ou après un redémarrage de l'ordinateur.
Il est intéressant de noter que lorsque l'opérateur estime avoir extrait ce dont il avait besoin ou souhaite réduire les traces, Le logiciel malveillant peut lui-même supprimer la tâche planifiée. afin d'effacer les traces et de compliquer les analyses forensiques ultérieures. Cet effacement peut également intervenir dans le cadre de commandes spécifiques envoyées par le serveur de commande et de contrôle.
Dans la phase de télécommande, PyStoreRAT communique avec un serveur C2 externe Il reçoit ses instructions de ces serveurs. Bien que tous les domaines et adresses IP utilisés n'aient pas été rendus publics, on sait que ce RAT prend en charge un large éventail de commandes, destinées à la fois à l'exécution de nouvelles charges utiles et à la propagation et à l'effacement de ses traces.
Parmi les commandes les plus importantes que vous pouvez exécuter figurent des fonctions pour Téléchargez et exécutez les fichiers binaires EXE (y compris Rhadamanthys).Téléchargez et extrayez les fichiers ZIP, obtenez les DLL malveillantes et exécutez-les via rundll32.exeet recevoir du code JavaScript brut qui s'exécute directement en mémoire en utilisant eval ()une technique qui rend la détection basée sur les fichiers difficile.
Le RAT peut également Installez les packages MSI, puis lancez les processus mshta.exe secondaires pour charger davantage de HTA distants.et exécute directement les commandes PowerShell en mémoire, évitant ainsi de laisser des scripts visibles sur le disque. De plus, il intègre des fonctions permettant de propager l'infection par le biais de un mécanisme de propagation utilisant des disques amovibles, en remplaçant les documents légitimes par des raccourcis LNK malveillants qui pointent vers des logiciels malveillants.
Produits concernés et focus sur les cryptomonnaies
Il est important de préciser que PyStoreRAT n'exploite pas une vulnérabilité spécifique des logiciels populaires.Au contraire, son succès repose entièrement sur l'abus de confiance envers les projets open source et sur les mauvaises habitudes consistant à télécharger et à exécuter du code provenant de dépôts mal vérifiés.
Les principales cibles sont les utilisateurs qui téléchargent des contenus présumés Outils OSINT, robots de trading DeFi, utilitaires pour interagir avec GPT ou scripts de sécurité Hébergé sur GitHub et publié ou mis à jour entre juin et décembre 2025 environ. Tout dépôt de ce type, sans auteur vérifiable, mérite d'être analysé avec la plus grande attention.
Parallèlement, les logiciels malveillants s'intéressent particulièrement à portefeuilles de cryptomonnaies installés sur le systèmeBien qu'il n'exploite pas les vulnérabilités de ces programmes, il examine les répertoires, les fichiers de données et les configurations susceptibles de révéler des informations utiles sur les soldes, les adresses ou les mots de passe.
Parmi les applications qu'il recherche habituellement, on trouve : Ledger Live, portefeuilles Trezor, Exodus, Atomic Wallet, Guarda Wallet et l'appareil BitBox02Le simple fait que les logiciels malveillants suivent ces traces indique déjà un intérêt évident pour la monétisation par le vol d'actifs cryptographiques ou la vente de données de portefeuilles numériques.
Il convient de souligner que Le vecteur d'infection reste l'exécution de code téléchargé depuis GitHub.Il ne s'agit pas d'une faille de sécurité inhérente aux portefeuilles eux-mêmes. Néanmoins, les utilisateurs de cryptomonnaies qui combinent ces portefeuilles avec des outils téléchargés sans précaution depuis des dépôts inconnus deviennent, de facto, une cible de choix pour les opérateurs de PyStoreRAT.
Indicateurs de compromission et de comportements suspects
Pour détecter d'éventuelles infections associées à cette famille, il est utile de consulter des signes de comportement atypique à la fois dans le code téléchargé depuis GitHub et dans le système Windows lui-même (Symptômes des différents types de logiciels malveillantsBien que tous les indicateurs ne garantissent pas qu'il s'agisse de PyStoreRAT, leur combinaison devrait éveiller les soupçons.
En matière de développement, il faut se méfier de Scripts Python ou JavaScript très courts dont le seul but est de télécharger et d'exécuter des fichiers HTA via mshta.exeCe modèle est déjà suspect et devrait être examiné attentivement, surtout s'il provient d'un dépôt nouvellement créé ou d'un dépôt ayant un historique douteux.
Au niveau du système d'exploitation, un indicateur typique est le présence de processus mshta.exe lancés par des scripts ou des interpréteurs En dehors des contextes habituels, le fait de voir mshta.exe invoqué par Python, Node.js ou via une console de commandes associée à un « outil OSINT » devrait éveiller les soupçons dans un environnement professionnel ou même domestique.
Il est également conseillé de surveiller l'existence de tâches planifiées dont les noms imitent ceux des programmes de mise à jour de NVIDIA ou d'autres fabricants réputésSi ces tâches ont été créées au moment de l'installation d'un outil GitHub peu connu, le risque qu'elles soient liées à PyStoreRAT ou à un autre logiciel malveillant similaire est élevé.
Enfin, il convient de prêter attention à Raccourcis LNK inhabituels sur les disques USB ou des disques externesEn particulier lorsqu'ils remplacent des documents Office ou des PDF qui s'ouvraient auparavant normalement. Ce comportement correspond à la tactique de propagation par supports amovibles mise en œuvre par ce RAT.
Victimes potentielles, tactiques observées et attribution
La campagne derrière PyStoreRAT semble être en cours. une compréhension assez approfondie du fonctionnement de la communauté de la cybersécurité et du développementIls ne recherchent pas seulement des utilisateurs naïfs, mais des profils qui utilisent régulièrement des outils d'analyse, d'automatisation et d'OSINT.
Parmi les victimes potentielles figurent Chercheurs en sécurité, administrateurs informatiques, analystes de menaces et même utilisateurs avancés de cryptomonnaies Ils testent souvent de nouveaux outils GitHub pour optimiser leurs flux de travail. C’est précisément parce qu’ils s’appuient sur des dépôts « à la mode » qu’ils finissent par s’exposer à des charges utiles malveillantes soigneusement dissimulées.
Les attaquants s'appuient sur diverses tactiques de visibilité, telles que utilisation des listes de dépôts populaires et des campagnes sur les réseaux sociaux L’objectif est de rediriger le trafic vers les projets infectés. L’utilisation de comptes GitHub nouvellement créés ou inactifs, combinée à des commits ultérieurs présentant le logiciel malveillant comme une « mise à jour mineure », révèle une stratégie d’attaque de la chaîne d’approvisionnement logicielle.
En ce qui concerne l'attribution, les enquêtes pointent vers… présence d'artefacts et de modèles de codage en russeCela laisse supposer que le groupe responsable est originaire d'Europe de l'Est. Cependant, à l'heure actuelle, aucun lien direct avec un groupe APT ou un groupe criminel clairement identifié dans les sources publiques n'a été établi.
La nature modulaire, l'intérêt pour le vol de cryptomonnaies et l'utilisation de techniques d'évasion modernes convergent tous vers des acteurs possédant de l'expérience et des ressources, et non de simples amateursToutefois, la campagne est toujours en cours d'analyse et de nouveaux éléments de preuve pourraient apparaître au fil du temps.
Relations avec d'autres menaces : le cas de SetcodeRat
Bien que PyStoreRAT soit la vedette de cette analyse, diverses études ont souligné l'émergence d'autres familles de RAT dotées de stratégies tout aussi raffinéesCela confirme une tendance inquiétante vers des implants à distance hautement personnalisés pour certains environnements ou régions.
Un exemple similaire est SetcodeRat, découvert par un fournisseur de sécurité chinois, qui Il se propage par le biais de campagnes de malvertising à l'intérieur du pays. Dans ce cas précis, les attaquants ciblent les utilisateurs sinophones et utilisent de faux installateurs de logiciels courants, tels que des navigateurs web, pour mener à bien l'infection.
Le programme d'installation malveillant de SetcodeRat effectue une vérification préalable de la région et de la langue du systèmeSi l'équipe n'est pas configurée en chinois simplifié ou en variantes locales telles que Zh-CN (Chine continentale), Zh-HK (Hong Kong), Zh-MO (Macao) ou Zh-TW (Taïwan), le programme s'arrête tout simplement, réduisant ainsi l'exposition inutile en dehors du public cible.
Une autre exigence curieuse est que le logiciel malveillant Vérifier la connectivité à l'aide d'une URL Bilibili (Un service vidéo chinois populaire). Si l'accès au chemin associé à api.bilibilicom/x/report/click/now est impossible, l'exécution est interrompue, probablement comme mécanisme supplémentaire pour limiter l'analyse en environnement de laboratoire.
Dans la phase suivante, le programme d'installation exécute un fichier binaire appelé pnm2png.exe pour charger zlib1.dll en parallèleCette DLL, manipulée par les attaquants, déchiffre le contenu d'un fichier nommé qt.conf puis charge une nouvelle DLL contenant un code malveillant de type RAT. De cette manière, le logiciel malveillant s'insère dans la chaîne de chargement des bibliothèques d'une application en apparence légitime.
Une fois pleinement opérationnel, SetcodeRat offre les fonctionnalités habituelles d'un RAT moderne : Capture d'écran, enregistrement des frappes au clavier, lecture et modification de dossiers, exécution de processus, lancement de cmd.exe, gestion des connexions réseau et mises à jour automatiquesPour communiquer avec votre infrastructure, vous pouvez utiliser les deux Serveurs C2 classiques utilisés comme canaux via Telegramce qui lui confère flexibilité et résilience.
Stratégies d'atténuation recommandées
La meilleure défense contre PyStoreRAT et les menaces similaires consiste à Modifiez vos habitudes lors du téléchargement et de l'exécution de code provenant de dépôts publics.Ceci est particulièrement critique en entreprise, où une simple négligence peut entraîner une grave violation de données.
Tout d'abord, il est recommandé vérifier la légitimité des dépôts GitHubVérifiez si le projet appartient à une organisation reconnue, comparez l'URL avec le site web officiel et consultez l'historique des modifications pour repérer d'éventuels ajouts de dernière minute suspects. Il est également utile d'évaluer la cohérence entre la popularité du projet et la qualité réelle du code.
Avant d'exécuter un outil téléchargé, il est conseillé d'effectuer les opérations suivantes : une revue manuelle du code, en particulier des scripts qui servent de « lanceurs ».Toute référence à mshta.exe, téléchargements Les HTA distantes ou les invocations PowerShell inhabituelles doivent être analysées de près, idéalement dans un environnement sandbox ou à l'aide d'un Analyse hors ligne de Microsoft Defender avant de rejoindre une équipe de production.
Au niveau du réseau, il est utile surveiller les connexions sortantes Le système assure la surveillance des nouveaux domaines et des adresses IP inhabituelles, ainsi que la journalisation et l'alerte en cas de comportements de type C2. Bien que tous les indicateurs spécifiques ne soient pas publiés, la détection basée sur l'analyse du trafic peut fournir des indices précieux.
Au terme de cette étape, les organisations devraient Configurer des alertes pour la création de tâches planifiées suspectesIl convient notamment de surveiller les programmes présentés comme des mises à jour pour des fabricants reconnus, mais dont le fichier binaire pointe vers des chemins d'accès inhabituels. Il est également crucial de contrôler l'utilisation de mshta.exe et l'exécution de PowerShell ou de rundll32.exe avec des paramètres inhabituels.
Enfin, concernant les périphériques externes, il est recommandé Restreindre ou bloquer l'exécution des fichiers LNK à partir de lecteurs amovibles Dans les environnements à haut risque, il est recommandé de soumettre ces raccourcis à des analyses approfondies. Cela réduit la probabilité que la menace se propage à de nouveaux ordinateurs via des clés USB ou d'autres moyens similaires.
PyStoreRAT et SetcodeRat illustrent très bien ce phénomène. Dans quelle mesure les attaquants perfectionnent-ils les RAT modulaires, exploitent-ils des plateformes légitimes comme GitHub et utilisent-ils des techniques d'évasion ? Ces campagnes, qui exploitent de plus en plus notre confiance dans les logiciels « populaires » et les écosystèmes ouverts, ne peuvent être véritablement réduites qu'en combinant l'analyse du code, les bonnes pratiques de téléchargement, la surveillance du réseau et le contrôle des terminaux. Elles ciblent des régions ou des profils spécifiques.
Écrivain passionné par le monde des octets et de la technologie en général. J'aime partager mes connaissances à travers l'écriture, et c'est ce que je vais faire dans ce blog, vous montrer toutes les choses les plus intéressantes sur les gadgets, les logiciels, le matériel, les tendances technologiques et plus encore. Mon objectif est de vous aider à naviguer dans le monde numérique de manière simple et divertissante.