Uma nova campanha de ciberespionagem está utilizando repositórios falsos no GitHub como vetor para distribuir o malware PyStoreRAT, um trojan de acesso remoto modular escrito em Python. A operação foi descoberta após análise de arquivos hospedados em perfis que imitavam ferramentas legítimas de código aberto voltadas para profissionais de segurança e OSINT. Os operadores da campanha criaram repositórios que simulavam projetos populares, com nomes e descrições voltados para atrair pesquisadores, analistas e administradores de sistemas.
Ao baixar e executar os arquivos oferecidos, a vítima era infectada com o PyStoreRAT, que permite acesso remoto completo, além de coleta de dados e persistência no sistema. O malware é capaz de registrar digitação, capturar tela, listar arquivos e processos, extrair dados de navegação e manter um canal de comunicação com servidores controlados pelos atacantes. A estrutura modular do PyStoreRAT permite que ele receba novos comandos e funcionalidades mesmo após a infecção inicial. Um dos elementos mais preocupantes da campanha é o uso do GitHub como canal de distribuição confiável, o que dificulta a detecção por ferramentas automatizadas. Como os repositórios aparentam ser legítimos, há um risco elevado de que vítimas instalem os arquivos sem suspeitar da natureza maliciosa do conteúdo.
A campanha também inclui scripts de inicialização que ativam o malware assim que a ferramenta é executada pela primeira vez. Os arquivos foram disfarçados com descrições técnicas plausíveis e documentação similar à de projetos reais, reforçando a aparência de legitimidade. O alvo principal parecem ser profissionais que trabalham com investigação de código aberto (OSINT), segurança da informação e administração de sistemas. Essa escolha sugere um interesse em comprometer máquinas com acesso a informações sensíveis, especialmente em ambientes corporativos e governamentais. Embora o GitHub tenha removido os repositórios maliciosos após denúncias, a campanha mostra como atacantes continuam explorando plataformas populares de colaboração e desenvolvimento para enganar usuários experientes.
