2025-12-22 04:07:51 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 黑客在GitHub上发布伪装成OSINT工具、DeFi机器人或GPT辅助工具的恶意Python库，传播PyStoreRAT木马。该木马利用mshta.exe执行HTA文件，能检测并规避CrowdStrike等EDR工具，具有模块化架构，主要目标是窃取加密货币钱包信息。文章建议不要盲目信任GitHub项目的Star数，应进行代码审查并关注网络行为，以防范此类攻击。 综合评分： 93 文章分类： 恶意软件,WEB安全,安全意识,威胁情报,漏洞分析

cover_image

从 “拿来主义” 到 “肉鸡”：看黑客如何用 Python 脚本和社工技巧攻破你的防线

原创

Hankzheng

技术修道场

2025年12月17日 08:08 广东

各位老铁，大家好！ 👋

作为一个靠代码吃饭的 IT 人，咱们每天打开频率最高的网站除了 Google 和 Stack Overflow，大概率就是 GitHub 了吧？

毕竟，谁不喜欢“造好的轮子”呢？遇到需求，先上去搜个 OSINT 工具，或者找个 GPT 的 Wrapper，git clone 下来，pip install 一把梭，简直不要太爽。

但是，今天我要再来泼一下冷水。 🧊

最近，安全圈炸锅了。Morphisec 的研究人员发现了一场精心策划的“投毒”行动。黑客们不再只是傻傻地发钓鱼邮件，而是潜伏在 GitHub 上，发布了一堆伪装成 OSINT（开源情报）工具、DeFi 机器人、甚至 GPT 辅助工具 的 Python 库。

如果你最近为了图省事，下载了这类工具，那你可能已经中招了——你的电脑里可能正躺着一个叫做 PyStoreRAT 的新型木马。

今天，我就带着大家以后台视角的“X光”，把这个 PyStoreRAT 的底裤扒下来，看看它到底玩了什么“骚操作”。

01 钓鱼：GitHub 里的“杀猪盘” 🎣

这帮黑客非常懂人性，更是深谙“流量密码”。

他们知道我们（特别是咱们这些老油条）在选开源项目时看什么：Star 数、Fork 数、更新频率。

于是，他们搞了一套类似“Stargazers Ghost Network”（幽灵星标网络）的玩法，通过刷量把这些带毒的仓库刷上 GitHub 的趋势榜。不仅如此，他们还在 YouTube 和 X（推特）上发视频、发推文推广这些工具。

最鸡贼的是他们的“潜伏期”：

很多仓库甚至是几个月前创建的“休眠账号”。刚开始，代码是干净的。等到 Star 数涨上去了，工具在社区里有点名气了，他们才在 10 月和 11 月通过所谓的 “维护性提交”（Maintenance Commits），悄悄把恶意的 Loader Stub（加载器存根）塞进去。

这简直就是代码界的“特洛伊木马”。

02 入侵：几行代码的“蝴蝶效应” 🦋

你以为下载下来的就是一个简单的 Python 脚本？大错特错。

在这个所谓的“工具”里，藏着几行不起眼的代码。这几行代码并不直接干坏事，而是充当一个“敲门砖”。

技术细节拆解：

静默下载：

脚本运行后，会在后台悄悄下载一个远程的 HTA（HTML Application） 文件。
利用系统白名单（LoLBin）：

它使用 Windows 自带的 mshta.exe 来执行这个 HTA 文件。

敲黑板： 为什么要用 mshta.exe？

对于有几年经验的兄弟来说，应该知道这叫 Living off the Land (LotL) 攻击。mshta.exe 是微软签名的合法程序，大部分杀毒软件默认是信任它的。黑客利用它来执行恶意的 VBScript 或 JavaScript，就像是拿着良民证干坏事，隐蔽性极高。

03 规避：它竟然认识 CrowdStrike？ 🕵️‍♂️

这个 Loader 并不傻，它有极强的反侦察意识。在执行 Payload 之前，它会先做一次环境扫描。

它会遍历你安装的软件列表，专门检索两个关键词：

🔴 “Falcon” (没错，就是让全世界蓝屏的 CrowdStrike Falcon)
🔴 “Reason” (指的是 Cybereason 或 ReasonLabs)

高能逻辑来了：

如果你没装这些 EDR：

它就大摇大摆地直接运行 mshta.exe
如果你装了：

它会换个姿势，通过 cmd.exe 来间接启动 mshta.exe

技术原理分析： 为什么要在有 Falcon 的时候多绕一步？这很可能是为了打乱 EDR 的“进程树”分析逻辑，或者试图绕过某种特定的父子进程行为监控规则。这说明开发者对主流 EDR 的检测机制是有深入研究的。

04 核心：PyStoreRAT 的模块化架构 🧩

一旦 HTA 文件被执行，PyStoreRAT 本体就登场了。与其说它是个木马，不如说它是一个基于脚本的模块化攻击平台。Morphisec 的老哥们把它形容为“瑞士军刀”。

它支持执行各种格式的 Payload：

✅EXE 和 DLL（常规操作）

✅PowerShell（无文件攻击）

✅MSI 安装包

✅原生 Python 和 JavaScript 代码

最可怕的是这一条：

Fetch raw JavaScript code and execute it dynamically in memory using eval()

兄弟们，eval() 啊！这意味着 payload 根本不需要落地到硬盘上，直接在内存里动态执行。传统的基于文件特征码的杀毒软件，面对这种内存马，基本就是个瞎子。

05 目的：不但偷，还要持久化 🕷️

这玩意儿进来了想干嘛？

1. 偷钱包： 专门扫描你的 Ledger Live, Trezor, Exodus, Atomic 等加密货币钱包文件。炒币的兄弟们瑟瑟发抖了吗？

2. 下崽： 它通常会作为第一阶段的跳板，随后下载一个叫 Rhadamanthys 的信息窃取木马，把你浏览器的 Cookie、密码、Session Token 洗劫一空。

3. 持久化： 为了防止重启后失效，它会创建一个计划任务，伪装成 NVIDIA 显卡驱动的自动更新程序。你看一眼任务管理器，根本发现不了异常。

⚠️ 额外警示：针对国内的 SetcodeRat

文章最后还提到了奇安信的一份报告，关于另一个叫 SetcodeRat 的木马。这个更绝，专门盯着中文区用户。

它会校验受害者地区，如果不是 中国大陆、香港、澳门、台湾，直接退出不运行。

它甚至会尝试连接 Bilibili 的 API (api.bilibili.com) 来测试网络连通性。如果连不上 B站，它就觉得环境不对（可能是国外的沙箱），立马自杀。

这本地化做得，简直比某些外企还好……😓

💡 总结与建议

各位，PyStoreRAT 的出现标志着攻击者正在向模块化、脚本化转型。他们利用 HTA/JS 执行代码，利用 Python 库分发，还针对 CrowdStrike 做了免杀逻辑，这使得传统的 EDR 经常在感染链的后期才能察觉。

作为技术人员，我们该怎么办？

🛡️ 不要盲目信任 Star 数： 尤其是那些只有几个月历史、甚至是用休眠账号突然复活的项目。
🛡️ Code Review 是个好习惯： git clone 下来后，别急着 run花几分钟扫一眼 __init__.py 或者 setup.py看看有没有奇怪的网络请求或者 exec、eval 函数。
🛡️ 关注网络行为： 如果一个做数据分析的 Python 脚本突然请求启动 mshta.exe 或者 cmd.exe直接杀掉，别犹豫。

技术在进步，黑客也在卷。咱们做技术的，警惕性可千万不能丢啊！

觉得有用的，转给身边的程序员兄弟们避个坑吧！ 👊

查看原文：《从 “拿来主义” 到 “肉鸡”：看黑客如何用 Python 脚本和社工技巧攻破你的防线》