Campaña con repositorios falsos en GitHub distribuye PyStoreRAT y apunta a desarrolladores y analistas de ciberseguridad

Una nueva campaña de malware activo en GitHub está utilizando repositorios falsos que se presentan como herramientas OSINT y utilidades relacionadas con GPT para distribuir PyStoreRAT, un remote access trojan modular orientado específicamente a desarrolladores, investigadores y analistas de seguridad.

La operación explota la confianza en GitHub como plataforma de colaboración para ejecutar loaders livianos escritos en Python o JavaScript, los cuales descargan payloads remotos en formato HTA utilizando mshta.exe, iniciando una cadena de infección multi-etapa. La amenaza fue documentada por investigadores de Morphisec y otros equipos de seguridad, quienes detectaron indicios de un posible origen en Europa del Este, basados en artefactos lingüísticos presentes en el código y la infraestructura.

Detalles técnicos de PyStoreRAT

PyStoreRAT es un RAT modular basado en JavaScript, diseñado para operar de forma sigilosa y con amplias capacidades de post-explotación. Una vez ejecutado, el malware realiza perfilamiento del sistema, valida privilegios de administrador y habilita la descarga dinámica de módulos adicionales desde servidores de comando y control (C2).

Entre sus capacidades confirmadas se incluyen:

• Robo de credenciales y datos de billeteras de criptomonedas como Ledger Live, Trezor, Exodus, Atomic, Guarda y BitBox02

• Ejecución de binarios EXE, DLL, MSI, así como scripts PowerShell, Python y JavaScript

• Ejecución en memoria para reducir huella en disco

• Eliminación de evidencias forenses bajo demanda del C2

Para persistencia, PyStoreRAT crea tareas programadas camufladas como procesos legítimos, incluyendo supuestas actualizaciones de NVIDIA. Además, incorpora propagación por dispositivos USB, ampliando el alcance del compromiso.

El malware incluye técnicas de evasión contra soluciones EDR y antivirus, con referencias explícitas a plataformas como CrowdStrike Falcon y Cybereason, lo que sugiere un conocimiento avanzado de entornos corporativos y de investigación.

Impacto en desarrolladores y cadenas de suministro de software

El impacto es particularmente alto para desarrolladores, investigadores OSINT y usuarios de criptomonedas, ya que el vector de ataque se apoya en la cadena de suministro de software, uno de los eslabones más explotados actualmente.

Las regiones con mayor exposición incluyen Europa y América Latina, donde comunidades técnicas suelen reutilizar código de GitHub para pruebas, automatización y análisis. Una infección exitosa puede derivar en:

• Robo financiero directo

• Compromiso total del endpoint

• Movimiento lateral en redes corporativas

• Filtración de credenciales y secretos de desarrollo

Recomendaciones para equipos técnicos y de seguridad

Especialistas recomiendan extremar precauciones al interactuar con repositorios públicos y aplicar controles adicionales:

• Desconfiar de repositorios con stars inflados artificialmente, cuentas recién creadas o código excesivamente minimalista

• Ejecutar pruebas exclusivamente en entornos sandbox o máquinas virtuales aisladas

• Implementar escaneo de repositorios con herramientas como GitHub Advanced Security

• Configurar EDR/XDR para detectar ejecución anómala de mshta.exe

• Monitorear conexiones salientes hacia dominios C2 no categorizados

En contextos como México y otros países de Latinoamérica, se recomienda priorizar capacitación en seguridad de la cadena de suministro, así como el monitoreo proactivo de artefactos y dependencias provenientes de GitHub.

La campaña de PyStoreRAT confirma una tendencia preocupante: los desarrolladores se han convertido en objetivos de alto valor, y las plataformas colaborativas son ahora un vector clave para ataques silenciosos y persistentes.