Nova campanha de malware utiliza repositórios do GitHub para disseminação

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores de cibersegurança alertam para uma nova campanha que utiliza repositórios Python hospedados no GitHub para distribuir um Trojan de Acesso Remoto (RAT) baseado em JavaScript, denominado PyStoreRAT. Esses repositórios, que se apresentam como ferramentas de desenvolvimento ou de inteligência de código aberto (OSINT), contêm apenas algumas linhas de código que baixam e executam um arquivo HTA remotamente. O PyStoreRAT é um implante modular que pode executar diversos tipos de arquivos, incluindo EXE, DLL e scripts em PowerShell. Além disso, ele implanta um ladrão de informações chamado Rhadamanthys como carga adicional. A campanha começou em junho de 2025 e se espalhou por meio de contas do GitHub, muitas vezes inativas, que foram reativadas para publicar os repositórios maliciosos. Os atacantes utilizam técnicas para aumentar artificialmente a popularidade dos repositórios, como inflar métricas de estrelas e forks. O malware é projetado para evitar a detecção de soluções de EDR, utilizando lógica de evasão e executando comandos que podem roubar informações sensíveis, especialmente relacionadas a carteiras de criptomoedas. A origem dos atacantes sugere um grupo de língua russa, e a campanha representa uma evolução nas técnicas de infecção, utilizando implantes baseados em scripts que se adaptam às medidas de segurança existentes.

Fonte: https://thehackernews.com/2025/12/fake-osint-and-gpt-utility-github-repos.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
12/12/2025 • Risco: ALTO
MALWARE

Nova campanha de malware utiliza repositórios do GitHub para disseminação

RESUMO EXECUTIVO
A campanha de PyStoreRAT representa uma ameaça significativa para empresas que utilizam repositórios do GitHub, especialmente aquelas envolvidas com criptomoedas. A capacidade do malware de se adaptar a controles de segurança e roubar informações sensíveis exige atenção imediata dos líderes de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido ao roubo de informações e interrupções operacionais.
Operacional
Roubo de informações sensíveis, especialmente relacionadas a carteiras de criptomoedas.
Setores vulneráveis
['Tecnologia', 'Finanças', 'Desenvolvimento de Software']

📊 INDICADORES CHAVE

Campanha começou em junho de 2025. Indicador
Uso de repositórios do GitHub para disseminação. Contexto BR
Implante modular capaz de executar múltiplos formatos de payload. Urgência

⚡ AÇÕES IMEDIATAS

1 Auditar repositórios do GitHub utilizados pela organização para identificar possíveis implantes maliciosos.
2 Implementar filtros de segurança para monitorar downloads de repositórios e executar análises de segurança em ferramentas de desenvolvimento.
3 Monitorar continuamente a atividade de repositórios do GitHub e a execução de scripts HTA em sistemas.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação dos ataques que utilizam plataformas confiáveis como o GitHub para disseminar malware, o que pode comprometer a segurança de dados sensíveis.

⚖️ COMPLIANCE

Implicações legais e de compliance com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).