Des chercheurs en cybersécurité attirent l’attention sur une nouvelle campagne qui utilise des dépôts Python hébergés sur GitHub pour distribuer un cheval de Troie d’accès à distance (RAT) basé sur JavaScript et jusqu’alors non documenté, baptisé PyStoreRAT .

« Ces dépôts, souvent présentés comme des utilitaires de développement ou des outils OSINT, ne contiennent que quelques lignes de code chargées de télécharger silencieusement un fichier HTA distant et de l’exécuter via ‘mshta.exe’ », a déclaré Yonatan Edri, chercheur chez Morphisec, dans un rapport partagé avec The Hacker News.

PyStoreRAT est décrit comme un implant « modulaire et multi-étapes » capable d’exécuter des modules EXE, DLL, PowerShell, MSI, Python, JavaScript et HTA. Ce logiciel malveillant déploie également un voleur d’informations nommé Rhadamanthys comme charge utile secondaire.

Les chaînes d’attaque consistent à distribuer le logiciel malveillant via des modules de chargement Python ou JavaScript intégrés dans des dépôts GitHub se faisant passer pour des outils OSINT, des bots DeFi, des wrappers GPT et des utilitaires à thème de sécurité conçus pour séduire les analystes et les développeurs.

Les premiers signes de cette campagne remontent à la mi-juin 2025, avec un flux constant de « dépôts » publiés depuis. Les outils sont promus via des plateformes de médias sociaux comme YouTube et X, et gonflent artificiellement les statistiques d’étoiles et de forks des dépôts – une technique qui rappelle celle du réseau fantôme de Stargazers .

Les auteurs de cette campagne utilisent des comptes GitHub nouvellement créés ou restés inactifs pendant des mois pour publier les dépôts, en y insérant furtivement la charge utile malveillante sous forme de commits de « maintenance » en octobre et novembre, après que les outils ont commencé à gagner en popularité et à figurer parmi les tendances les plus populaires de GitHub.

En réalité, nombre de ces outils ne fonctionnaient pas comme annoncé, se contentant parfois d’afficher des menus statiques ou des interfaces non interactives, tandis que d’autres effectuaient des opérations minimales et superficielles. L’objectif de cette opération était de leur conférer une apparence de légitimité en abusant de la confiance accordée à GitHub et en incitant les utilisateurs à exécuter le script de chargement responsable du déclenchement de la chaîne d’infection.

Cela déclenche effectivement l’exécution d’une charge utile d’application HTML distante (HTA) qui, à son tour, délivre le logiciel malveillant PyStoreRAT, qui est doté de capacités permettant de profiler le système, de vérifier les privilèges d’administrateur et de scanner le système à la recherche de fichiers liés aux portefeuilles de cryptomonnaies, en particulier ceux associés à Ledger Live, Trezor, Exodus, Atomic, Guarda et BitBox02.

Le programme d’exécution collecte la liste des antivirus installés et recherche les chaînes de caractères correspondant à « Falcon » (CrowdStrike Falcon) ou « Reason » (Cybereason ou ReasonLabs), probablement dans le but de se dissimuler. S’il les détecte, il lance « mshta.exe » via « cmd.exe ». Sinon, il exécute directement « mshta.exe ».

La persistance est assurée par la mise en place d’une tâche planifiée déguisée en mise à jour automatique d’une application NVIDIA. Dans une dernière étape, le logiciel malveillant contacte un serveur externe pour récupérer des commandes à exécuter sur l’hôte. Voici quelques exemples de commandes prises en charge :

• Téléchargez et exécutez des fichiers EXE, y compris Rhadamanthys
• Téléchargez et extrayez les archives ZIP
• Télécharge une DLL malveillante et l’exécute à l’aide de « rundll32.exe »
• Récupérez le code JavaScript brut et exécutez-le dynamiquement en mémoire à l’aide de eval().
• Téléchargez et installez les packages MSI
• Lancez un processus secondaire « mshta.exe » pour charger des charges utiles HTA distantes supplémentaires.
• Exécutez des commandes PowerShell directement en mémoire
• Propagation via des lecteurs amovibles par remplacement de documents légitimes par des fichiers de raccourci Windows (LNK) malveillants
• Supprimez la tâche planifiée pour effacer les traces numériques.

On ignore pour l’instant qui est à l’origine de cette opération, mais la présence d’artefacts et de schémas de codage en langue russe laisse supposer qu’il s’agit d’un acteur malveillant probablement originaire d’Europe de l’Est, a déclaré Morphisec.

« PyStoreRAT marque une évolution vers des implants modulaires, basés sur des scripts, capables de s’adapter aux contrôles de sécurité et de déployer plusieurs formats de charge utile », a conclu Edri. « Son utilisation de HTA/JS pour l’exécution, de chargeurs Python pour la distribution et d’une logique d’évasion compatible avec Falcon crée une première infiltration furtive que les solutions EDR traditionnelles ne détectent qu’à un stade avancé de la chaîne d’infection. »

Cette révélation intervient alors que le fournisseur de sécurité chinois QiAnXin a détaillé un nouveau cheval de Troie d’accès à distance (RAT), nommé SetcodeRat, qui se propage probablement dans tout le pays depuis octobre 2025 via des publicités malveillantes. Des centaines d’ordinateurs, y compris ceux appartenant à des gouvernements et des entreprises, auraient été infectés en l’espace d’un mois.

« Le programme d’installation malveillant vérifie d’abord la région de la victime », a déclaré le Centre de renseignement sur les menaces QiAnXin . « S’il ne s’agit pas d’une zone sinophone, il se ferme automatiquement. »

Le logiciel malveillant se fait passer pour un programme d’installation légitime de logiciels populaires comme Google Chrome et ne passe à l’étape suivante que si la langue du système correspond à celle de la Chine continentale (Zh-CN), de Hong Kong (Zh-HK), de Macao (Zh-MO) ou de Taïwan (Zh-TW). Il interrompt également son exécution en cas d’échec de la connexion à une URL Bilibili (« api.bilibili[.]com/x/report/click/now »).

Dans l’étape suivante, un exécutable nommé « pnm2png.exe » est lancé pour charger latéralement « zlib1.dll », qui déchiffre ensuite le contenu d’un fichier appelé « qt.conf » et l’exécute. La charge utile déchiffrée est une DLL qui intègre la charge utile du RAT. SetcodeRat peut se connecter à Telegram ou à un serveur de commande et de contrôle (C2) classique pour récupérer des instructions et procéder au vol de données.

Il permet au logiciel malveillant de prendre des captures d’écran, d’enregistrer les frappes au clavier, de lire des dossiers, de définir des dossiers, de démarrer des processus, d’exécuter « cmd.exe », d’établir des connexions socket, de collecter des informations sur le système et la connexion réseau, et de se mettre à jour vers une nouvelle version.