Эксперты по кибербезопасности из Morphisec Threat Labs обнаружили новую, высокоскоординированную кампанию вредоносного ПО, целенаправленно атакующую специалистов по ИТ-администрированию, кибербезопасности и, что особенно важно, исследователей в области OSINT (разведки на основе открытых источников). Угроза, получившая название PyStoreRAT, использует платформу GitHub в качестве оружия, сочетая тщательное планирование и инструменты, созданные искусственным интеллектом.
Расследование показало, что атака началась с повторной активации давно неиспользуемых учетных записей на GitHub, некоторые из которых "спали" годами. Эти аккаунты начали публиковать привлекательные и проработанные проекты, такие как инструменты для OSINT-разведки, боты для криптотрейдинга (DeFi-боты) и оболочки для чатов на основе ИИ (например, оболочки GPT). Ключевая деталь: многие из этих проектов были созданы или улучшены с помощью ИИ для мгновенного завоевания доверия и легитимности. Тактика сработала: несколько таких репозиториев быстро взлетели в трендах GitHub. Только после завоевания популярности злоумышленники начали вносить в код скрытые обновления под видом "технического обслуживания", внедряя троянца удаленного доступа (RAT) PyStoreRAT.
Эта кампания представляет собой эволюционный шаг в тактике киберпреступников. Сочетание социальной инженерии, легитимных на вид (и созданных с помощью ИИ) проектов, целевой атаки на нишевое сообщество и высокой адаптивности вредоносного кода делает традиционные меры безопасности, основанные только на доверии к популярным репозиториям, фундаментально ненадежными.
Подпишись на @ibederov
