Lemon8Lifestyle community

Automatically translated.View original post

FreedomHack 󱢏
FreedomHack 󱢏

3831 followers

Follow
Follow
Follow
ภาพประกอบแสดงหน้าต่างคอมพิวเตอร์ที่มีข้อความ "PYSTORE RAT" และไอคอนรูปหนู พร้อมมือที่กำลังคลิก และไอคอนรูปหัวกะโหลกอยู่ด้านข้าง บนพื้นหลังลายแผงวงจรไฟฟ้า สื่อถึงมัลแวร์ PyStoreRAT
1/2

You may also like

No content
See more on the app
See more on the app
See more on the app
1 saved
3

PyStoreRAT malware found on GitHub

PyStoreRAT malware found on GitHub, quote as software development tool

When it comes to Repository, which is a popular source for developers, it can't escape GitHub, which, in addition to being a popular Repo, is also a community source or community of developers, but this is also a huge gathering of hackers and malware.

According to a report by the Siliconangle website, Morphisec, an expert in the development of endpoint security solutions, has detected malware of the type that remotely controls the victim's machine, or a new RAT, called "PyStoreRAT," that has impersonated software developers through Repo on GitHub, with the goal of controlling and stealing secret data on the victim's machine. The deception is consistent, because on Repo there are many reliable-looking files, such as README that are carefully written, graphic images that are also created. Beautiful AI (Artificial Intelligence or Artificial Intelligence) and function simulator to tempt the victim to execute the code of the dialer malware.

After the code is processed, it will download and run the HTML application file via mshta.exe to prevent the detection system from being captured on the machine compared to the traditional method of running the installation on the hard disk. After running successfully, the malware will start to collect system information such as the name of the machine, the active operating system, the installed security application, and the current level of access to the system before registering the data with the C2 or Command and Control server.

The research team also found that the malware also has the ability to evade a lot of detection, whether it is the use of handshake or handshake as a Session, with the use of a unique Token that is difficult to detect. Not only that, the malware has the ability to evade "Logic," the detection of famous enterprise cybersecurity tools like CrowdStrike Falcon and other famous tools by changing the Path for running, or Execution Path immediately when it is suspected that it is being watched by such group tools.

Malware also has the ability to endure within the victim's system by creating a task schedule under the name "NVIDIA App SelfUpdate" to deceive it as a task for updating graphics software. This task runs every 10 minutes or every time the user logs into the system to guarantee that malware will run on the system at all times despite the reboot.

Malware is also available in the Module system, allowing for feature downloads and new capabilities from servers and the ability to run with a variety of file formats - DLL files, MSI installations, PowerShell scripts, Python Archive files and HTA (HTML Application) files mentioned above.

Most importantly, malware can amplify the Lateral Movement by embedding itself into a USB drive by replacing the original file inside the drive as a malware shortcut file. It will run itself before running the file that the user wants to open. The malware can spread quickly within the organization.

# Welcome 2026 # Take care of yourself # Open budget # Includes IT matters # Trending

1/9 Edited to

... Read moreจากประสบการณ์ส่วนตัวที่เกี่ยวข้องกับการใช้ GitHub ในการดาวน์โหลดเครื่องมือและซอฟต์แวร์ต่าง ๆ สำหรับพัฒนาระบบเอง ต้องขอเตือนว่าผู้ใช้ควรเพิ่มความระมัดระวังมากขึ้น เนื่องจากมัลแวร์ PyStoreRAT ได้แสดงให้เห็นถึงวิธีการปลอมแปลงที่ซับซ้อน รวมถึงการสร้าง README และภาพกราฟิกที่สวยงามด้วย AI เพื่อหลอกลวงให้เหยื่อรันโค้ดติดตั้งมัลแวร์โดยไม่ระวัง ผมเคยเจอเหตุการณ์ที่เครื่องติดไวรัสจากไฟล์ใน GitHub โดยที่ผู้พัฒนาไม่ได้ตั้งใจให้เป็นมัลแวร์ แต่กลายเป็นช่องทางที่แฮกเกอร์ใช้แฝงตัว ส่งผลให้ระบบต้องรีสตาร์ทบ่อย และข้อมูลบางส่วนถูกขโมยไปโดยไม่รู้ตัว หลังจากติดเชื้อ PyStoreRAT ตัวนี้ ผมได้เรียนรู้ว่า การตรวจสอบและใช้งานโปรเจ็กต์ซอฟต์แวร์เปิดใน GitHub ควรทำอย่างละเอียด เช่น การตรวจสอบการอัพเดทไฟล์ต่าง ๆ อย่างสม่ำเสมอ และหลีกเลี่ยงการรันไฟล์จากแหล่งที่ไม่น่าเชื่อถือ อีกสิ่งที่น่ากังวลคือความสามารถของ PyStoreRAT ในการแทรกตัวลงใน Task Scheduling เพื่อให้มั่นใจว่ามัลแวร์นี้จะยังคงทำงานแม้เครื่องจะรีบูทใหม่ และยังสามารถแพร่กระจายผ่าน USB โดยที่ผู้ใช้งานแทบไม่รู้ตัว ซึ่งเหตุการณ์นี้ทำให้ผมต้องเพิ่มมาตรการรักษาความปลอดภัย เช่น ใช้ซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพ, ระมัดระวังการเชื่อมต่อ USB จากภายนอก และหลีกเลี่ยงการใช้ไดร์ฟที่ไม่ปลอดภัย สำหรับคนที่เป็นนักพัฒนาหรือนักวิจัยด้านไอที แนะนำให้ติดตามข่าวสารช่องโหว่และมัลแวร์ใหม่ ๆ อย่างสม่ำเสมอ รวมถึงการตั้งค่าและใช้ระบบตรวจจับมัลแวร์ในระดับองค์กรอย่างเข้มงวด เพราะ PyStoreRAT นี้สามารถหลบหลีกระบบตรวจจับได้อย่างแนบเนียน โดยเปลี่ยน Execution Path และใช้รหัสยืนยันตัวตนแบบ Handshake ทำให้การวิเคราะห์มีความซับซ้อน สุดท้ายนี้ ผมเห็นว่ากลุ่มผู้ใช้งานทั่วไปก็ควรตระหนักถึงภัยคุกคามในสภาพแวดล้อมดิจิทัล โดยเฉพาะเมื่อใช้งานแพลตฟอร์มเปิดอย่าง GitHub ที่มีทั้งประโยชน์สูงสุดและความเสี่ยงที่ซ่อนอยู่ในขณะเดียวกัน การติดตั้งเฉพาะซอฟต์แวร์จากแหล่งที่เชื่อถือได้และมีการตรวจสอบอย่างรัดกุมเท่านั้น จะช่วยลดความเสี่ยงจากมัลแวร์ทุกประเภทได้มากขึ้น