بدأ باحثون في الأمن السيبراني بدق ناقوس الخطر بشأن حملة جديدة تستغل مستودعات Python على منصة GitHub لنشر برمجية تجسسية غير موثقة سابقا تعتمد على JavaScript وتحمل اسم PyStoreRAT. وتأتي خطورة هذه الحملة من قدرتها على التمويه داخل مستودعات تبدو للوهلة الأولى أدوات تطوير أو مشاريع OSINT، بينما لا تحتوي في الواقع إلا على بضعة أسطر برمجية تتولى تنزيل ملف HTA خبيث وتشغيله عبر أداة mshta.exe، وفقا لتقرير صادر عن باحثي Morphisec.
وتوصف PyStoreRAT بأنها برمجية متعددة المراحل وقابلة للتوسع، إذ تستطيع تنفيذ ملفات EXE وDLL وPowerShell وMSI وPython وJavaScript وHTA، كما تتضمن حمولة إضافية لبرمجية سرقة المعلومات Rhadamanthys، ما يجعلها منصة تجسسية متكاملة تستهدف الأنظمة الحساسة ومحافظ العملات الرقمية.
استغلال GitHub والترويج عبر الشبكات الاجتماعية
تشير التحليلات إلى أن الحملة بدأت في منتصف يونيو 2025، حيث ظهرت مستودعات متعددة تحمل أسماء جذابة مثل أدوات OSINT أو بوتات DeFi أو أدوات تعتمد على GPT، بهدف استقطاب الباحثين والمطورين. وتم الترويج لهذه المستودعات عبر منصات مثل YouTube وX، مع تضخيم مصطنع لعدد النجوم وعمليات النسخ، في أسلوب مشابه لشبكة Stargazers Ghost Network.
ويعتمد المهاجمون على حسابات GitHub جديدة أو خاملة، ثم يضيفون الحمولة الخبيثة لاحقا عبر تحديثات تحمل طابع الصيانة بعد أن يكتسب المشروع شعبية. وتبين أن العديد من هذه الأدوات لا تعمل فعليا، بل تعرض قوائم ثابتة أو وظائف شكلية، في محاولة لإضفاء مصداقية زائفة ودفع المستخدمين إلى تشغيل الشيفرة المسؤولة عن بدء سلسلة العدوى.
قدرات متقدمة لاستهداف المحافظ الرقمية وتجاوز الحماية
عند تشغيل الحمولة، يبدأ PyStoreRAT بجمع معلومات النظام والتحقق من صلاحيات المدير، إضافة إلى البحث عن ملفات مرتبطة بمحافظ العملات الرقمية مثل Ledger Live وTrezor وExodus وAtomic وGuarda وBitBox02. كما يجمع قائمة ببرامج الحماية المثبتة ويتحقق من وجود مؤشرات مثل Falcon أو Reason لتقليل احتمالات اكتشافه.
وتتضمن آلية البقاء إنشاء مهمة مجدولة تتنكر كتحديث ذاتي لتطبيق NVIDIA، بينما يتصل في مرحلته الأخيرة بخادم خارجي للحصول على أوامر جديدة، تشمل تنزيل وتشغيل ملفات EXE، واستخراج أرشيفات ZIP، وتنفيذ DLL عبر rundll32، وتشغيل شيفرات JavaScript في الذاكرة، وتنزيل حزم MSI، وتشغيل PowerShell، والانتشار عبر وحدات التخزين القابلة للإزالة، وحذف آثار المهمة المجدولة.
ظهور تهديد جديد: SetcodeRat يستهدف المستخدمين في الصين
بالتوازي مع ذلك، كشفت شركة QiAnXin الصينية عن برمجية تجسسية جديدة تحمل اسم SetcodeRat تنتشر منذ أكتوبر 2025 عبر إعلانات خبيثة. وتتحقق البرمجية أولا من المنطقة الجغرافية للمستخدم، ولا تواصل عملها إلا إذا كان النظام باللغة الصينية، كما تتوقف إذا فشلت في الاتصال بعنوان تابع لمنصة Bilibili.
وتتنكر البرمجية كحزم تثبيت لبرامج شهيرة مثل Google Chrome، ثم تستخدم تقنية sideloading عبر ملف pnm2png.exe لتحميل مكتبة zlib1.dll التي تفك تشفير ملف qt.conf وتشغل الحمولة الأساسية. ويمكن لـ SetcodeRat الاتصال عبر Telegram أو خادم C2، وتنفيذ مهام تشمل التقاط الشاشة وتسجيل ضغطات المفاتيح واستعراض الملفات وتشغيل العمليات وجمع معلومات النظام والشبكة.
