{"id":8692,"date":"2025-12-17T20:44:42","date_gmt":"2025-12-17T19:44:42","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=8692"},"modified":"2025-12-17T20:44:42","modified_gmt":"2025-12-17T19:44:42","slug":"pystorerat-kampanja","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2025\/12\/17\/pystorerat-kampanja\/","title":{"rendered":"PyStoreRAT kampanja zlonamjernog softvera ugro\u017eava programere"},"content":{"rendered":"<p><em>PyStoreRAT<\/em> su sigurnosni istra\u017eiva\u010di kompanije <em>Morphisec<\/em> <a href=\"https:\/\/www.morphisec.com\/blog\/pystorerat-a-new-ai-driven-supply-chain-malware-campaign-targeting-it-osint-professionals\/\" target=\"_blank\" rel=\"noopener\">identifikovali<\/a> kao dio napredne kampanje <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> koja koristi la\u017ena <em>GitHub<\/em> skladi\u0161ta za distribuciju modularnog <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanca<\/a> za udaljeni pristup (eng. <em>remote access trojan \u2013 RAT<\/em>), sposobnog da izvr\u0161ava razli\u010dite pakete k\u00f4da i pokrene kradljivca informacija kao dodatni paket.<\/p>\n<div id=\"attachment_8701\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-8701\" class=\"size-full wp-image-8701\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/PyStoreRAT-malware_.jpg\" alt=\"PyStoreRAT\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/PyStoreRAT-malware_.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/PyStoreRAT-malware_-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/PyStoreRAT-malware_-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/PyStoreRAT-malware_-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/PyStoreRAT-malware_-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/PyStoreRAT-malware_-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/PyStoreRAT-malware_-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-8701\" class=\"wp-caption-text\">PyStoreRAT kampanja zlonamjernog softvera ugro\u017eava programere; Source: Bing Image Creator<\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/17\/pystorerat-kampanja\/#PYSTORERAT_ZLONAMJERNI_SOFTVER\">PYSTORERAT ZLONAMJERNI SOFTVER<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/17\/pystorerat-kampanja\/#Zlonamjerni_softver_u_zajednicama_programera\">Zlonamjerni softver u zajednicama programera<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/17\/pystorerat-kampanja\/#Funkcionalnost_i_mogucnosti\">Funkcionalnost i mogu\u0107nosti<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/17\/pystorerat-kampanja\/#Tehnike_izbjegavanja\">Tehnike izbjegavanja<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/17\/pystorerat-kampanja\/#Arhitektura_komandnog_sistema\">Arhitektura komandnog sistema<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/17\/pystorerat-kampanja\/#Naznake_porijekla\">Naznake porijekla<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/17\/pystorerat-kampanja\/#UTICAJ\">UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/17\/pystorerat-kampanja\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2025\/12\/17\/pystorerat-kampanja\/#PREPORUKE\">PREPORUKE<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"PYSTORERAT_ZLONAMJERNI_SOFTVER\"><\/span><strong><em>PYSTORERAT<\/em> ZLONAMJERNI SOFTVER<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Otkri\u0107e napredne kampanje zlonamjernog softvera <em>PyStoreRAT<\/em> predstavlja zna\u010dajan pomak u oblasti sajber prijetnji. Novi talas napada oslanja se na vje\u0161ta\u010dku inteligenciju, dru\u0161tveni in\u017eenjering i naru\u0161avanje lanca snabdijevanja kako bi isporu\u010dio prikriveni <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\">softver za tajni pristup<\/a>. Poseban zna\u010daj u ovoj kampanji ima iskori\u0161tavanje ekosistema otvorenog k\u00f4da, naro\u010dito <em>GitHub<\/em> platforme.<\/p>\n<p>Jedno od klju\u010dnih obilje\u017eja <em>PyStoreRAT<\/em> zlonamjernog softvera jeste upotreba legitimiteta generisanog vje\u0161ta\u010dkom inteligencijom. Na taj na\u010din <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> oblikuju ugla\u0111ene projekte koji opona\u0161aju legitimne prakse razvoja softvera. Takva skladi\u0161ta mogu ste\u0107i popularnost i povjerenje unutar zajednice programera, pa samim tim postaju privla\u010dne mete za neoprezne korisnike.<\/p>\n<p><em>GitHub<\/em>, kao vode\u0107a platforma za saradnju u okviru otvorenog k\u00f4da, stvorila je okru\u017eenje u kojem se programeri \u010desto oslanjaju na postoje\u0107e baze ili biblioteke kako bi ubrzali razvoj sopstvenih projekata. Me\u0111utim, upravo to oslanjanje otvara prostor za ranjivosti koje <em>PyStoreRAT<\/em> iskori\u0161tava. Ubrizgavanjem zlonamjernog k\u00f4da u skladi\u0161ta i naru\u0161avanjem lanca snabdijevanja, zlonamjerni akteri mogu do\u0107i do osjetljivih podataka i sistema.<\/p>\n<p>Priroda <em>PyStoreRAT<\/em> zlonamjernog softvera, vo\u0111ena vje\u0161ta\u010dkom inteligencijom, omogu\u0107ava mu da se brzo prilago\u0111ava promjenama u bezbjednosnim mjerama i da izbjegne otkrivanje od strane tradicionalnih odbrambenih sistema. Ova sposobnost prilago\u0111avanja predstavlja ozbiljnu prijetnju za organizacije koje se oslanjaju na tradicionalna bezbjednosna rje\u0161enja radi za\u0161tite mre\u017ea i podataka.<\/p>\n<p>Dodatno, modularna struktura <em>PyStoreRAT<\/em> zlonamjernog softvera omogu\u0107ava isporuku prilago\u0111enih <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnih tereta<\/a>, posebno osmi\u0161ljenih da ciljaju odre\u0111ene slabosti u infrastrukturi organizacije. Ovakav nivo razvijenosti dodatno ote\u017eava braniocima da na vrijeme prepoznaju i ubla\u017ee prijetnje.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Zlonamjerni_softver_u_zajednicama_programera\"><\/span><strong>Zlonamjerni softver u zajednicama programera<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Kampanja je po\u010dela kada su zlonamjerni akteri ponovo aktivirali uspavane <em>GitHub<\/em> naloge bez prethodne aktivnosti. Ti nalozi kori\u0161teni su za objavljivanje skladi\u0161ta koja su izgledala legitimno, navodno nastala uz pomo\u0107 alata zasnovanih na vje\u0161ta\u010dkoj inteligenciji. Ovakav pristup omogu\u0107io je zlonamjernim akterima da se besprijekorno uklope u zajednicu programera, koriste\u0107i povjerenje i kredibilitet povezan sa platformama poput <em>GitHub<\/em>.<\/p>\n<p>K\u00f4dne baze koje su objavili zlonamjerni akteri pokazivale su visok stepen autenti\u010dnosti, \u010desto uklju\u010duju\u0107i dobro dokumentovane <em>README<\/em> datoteke, reference zavisnosti i dnevnike doprinosa. Takve karakteristike nisu samo dodavale legitimitet, ve\u0107 su pru\u017eale i vrijedan kontekst programerima zainteresovanim za kori\u0161tenje skladi\u0161ta. Detaljna dokumentacija i referentni materijali dodatno su poja\u010davali percepciju da su ove baze istinski doprinosi njihovim domenima.<\/p>\n<p>Vjerodostojnost koju su pru\u017eile ove mjere omogu\u0107ila je zlonamjernim akterima da steknu upori\u0161te u zajednici, jer su korisnici sve \u010de\u0161\u0107e pravili kopije skladi\u0161ta i ozna\u010davali ih zvjezdicom. Popularnost je poslu\u017eila kao podsticaj za postepeno uvo\u0111enje zlonamjernih a\u017euriranja, koja su na kraju prikrila u\u010ditava\u010d <em>PyStoreRAT<\/em> zlonamjernog softvera unutar stabala zavisnosti i skripti za a\u017euriranje.<\/p>\n<p>Strate\u0161ko postavljanje <em>PyStoreRAT<\/em> zlonamjernog softvera omogu\u0107ilo mu je da se neprimjetno izvr\u0161ava nakon instalacije ili tokom procesa izgradnje, obezbje\u0111uju\u0107i trajno prisustvo u programerskim okru\u017eenjima. Prikrivena priroda ovog pristupa zna\u010dila je da \u010dak i iskusni programeri mogu previdjeti suptilne manipulacije, \u0161to dodatno nagla\u0161ava va\u017enost budnosti prilikom rada sa bazama otvorenog k\u00f4da.<\/p>\n<p>Kako se <em>PyStoreRAT<\/em> zlonamjerni softver nastavio \u0161iriti kroz kompromitovana skladi\u0161ta, njegovo prisustvo ostajalo je uglavnom neotkriveno. Tome su doprinijela dva faktora: sposobnost da se besprijekorno uklopi u legitimne zavisnosti i skripte, ote\u017eavaju\u0107i bezbjednosnim alatima da prepoznaju prijetnje, te kori\u0161tenje uspavanih <em>GitHub<\/em> naloga od strane zlonamjernih aktera kao lansirnih ta\u010daka, \u0161to im je omogu\u0107ilo uvjerljivo poricanje i dodatno zakomplikovalo napore da se incidenti pripi\u0161u.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionalnost_i_mogucnosti\"><\/span><strong>Funkcionalnost i mogu\u0107nosti<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Analiza sigurnosnih istra\u017eiva\u010da pokazuje da <em>PyStoreRAT<\/em> zlonamjerni softver vr\u0161i profilisanje sistema odmah nakon izvr\u0161avanja, prikupljaju\u0107i detalje o operativnom sistemu, promjenljive okru\u017eenja te postavke i konfiguracije razvojnih okru\u017eenja (eng. <em>integrated development environment \u2013 IDE<\/em>). Ovo sveobuhvatno prikupljanje podataka omogu\u0107ava zlonamjernim akterima da steknu duboko razumijevanje ciljnog okru\u017eenja i da prilagodi naredne akcije u skladu sa tim.<\/p>\n<p>Sposobnost <em>PyStoreRAT<\/em> zlonamjernog softvera da podesi vi\u0161e korisnih optere\u0107enja na osnovu bezbjednosnog stanja mete posebno je zna\u010dajna. Uklju\u010divanjem modula za komandovanje i kontrolu (<em>C2<\/em>), sakuplja\u010da podataka za prijavu i rutina za manipulaciju datotekama u svoj arsenal, ovaj softver se mo\u017ee prilagoditi razli\u010ditim scenarijima, osiguravaju\u0107i visok stepen efikasnosti u kompromitovanju ciljanih sistema.<\/p>\n<p>Jedan od klju\u010dnih aspekata funkcionalnosti <em>PyStoreRAT<\/em> zlonamjernog softvera jeste njegova sposobnost za tiho izvr\u0161avanje tokom procesa izgradnje ili nakon instalacije. Na taj na\u010din uspostavlja trajno upori\u0161te u programerskim okru\u017eenjima bez pokretanja trenutne detekcije od strane bezbjednosnih alata. Prikrivena priroda ove operacije dodatno nagla\u0161ava va\u017enost primjene robusnih mogu\u0107nosti pra\u0107enja i analize.<\/p>\n<p>Uklju\u010divanje <em>C2<\/em> modula kao dijela <em>PyStoreRAT<\/em> korisnog optere\u0107enja omogu\u0107ava komunikaciju sa komandno-kontrolnim serverima, olak\u0161avaju\u0107i daljinsko upravljanje kompromitovanim sistemima. Ova funkcija daje zlonamjernim akterima mogu\u0107nost da orkestriraju koordinisane napade ili izvr\u0161avaju ciljane operacije po potrebi, \u0161to nagla\u0161ava nu\u017enost da programeri ostanu budni u za\u0161titi svojih okru\u017eenja od takvih prijetnji.<\/p>\n<p>Pored toga, sposobnost <em>PyStoreRAT<\/em> zlonamjernog softvera da prikuplja podatke za prijavu i manipuli\u0161e datotekama dodaje dodatni sloj slo\u017eenosti njegovoj funkcionalnosti. Kori\u0161tenjem ovih mogu\u0107nosti mo\u017ee da ugrozi osjetljive podatke, poremeti kriti\u010dne sisteme ili olak\u0161a <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dno kretanje<\/a> unutar kompromitovanih mre\u017ea.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Tehnike_izbjegavanja\"><\/span><strong>Tehnike izbjegavanja<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Zna\u010dajna karakteristika <em>PyStoreRAT<\/em> zlonamjernog softvera le\u017ei u njegovoj logici izbjegavanja, posebno osmi\u0161ljenoj da zaobi\u0111e mehanizme softvera za detekciju i odgovor na prijetnje (eng. <em>Endpoint Detection and Response \u2013 EDR<\/em>). Kada otkrije procese softvera za detekciju i odgovor na prijetnje (<em>EDR<\/em>), mijenja tok izvr\u0161enja prebacivanjem na rezervne rukovaoce komandama i odlaganjem intervala komunikacije.<\/p>\n<p>Ovo adaptivno pona\u0161anje smanjuje anomalije koje bi mogle da pokrenu mehanizme za detekciju, omogu\u0107avaju\u0107i <em>PyStoreRAT<\/em> zlonamjernom softveru da ostane neprimjetan u ugro\u017eenim okru\u017eenjima. Njegova sposobnost da se prilagodi promjenljivim bezbjednosnim pejza\u017eima nagla\u0161ava potrebu da programeri budu budni u primjeni robusnih mogu\u0107nosti pra\u0107enja i analize.<\/p>\n<p>Upotreba rezervnih rukovalaca komandama i odlo\u017eenih intervala komunikacije dodaje dodatni sloj slo\u017eenosti tehnikama izbjegavanja <em>PyStoreRAT<\/em> zlonamjernog softvera. Kori\u0161tenjem ovih mogu\u0107nosti, softver mo\u017ee da ostane skriven u kompromitovanim okru\u017eenjima, \u0161to dodatno nagla\u0161ava va\u017enost stalne za\u0161tite sistema od takvih prijetnji.<\/p>\n<p>Prilagodljivost koju pokazuje <em>PyStoreRAT<\/em> zlonamjerni softver kao odgovor na razli\u010dite bezbjednosne stavove slu\u017ei kao podsjetnik da \u010dak i naizgled bezopasne baze k\u00f4da mogu da kriju zlonamjerne namjere. Kako se programeri nastavljaju oslanjati na skladi\u0161ta otvorenog k\u00f4da za svoje projekte, neophodno je ostati proaktivan u primjeni za\u0161titnih mjera koje mogu efikasno da se suprotstave evoluiraju\u0107oj prirodi prijetnji.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Arhitektura_komandnog_sistema\"><\/span><strong>Arhitektura komandnog sistema<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Arhitektura komandnog sistema <em>PyStoreRAT<\/em> zlonamjernog softvera osmi\u0161ljena je da omogu\u0107i efikasnu i bezbjednu komunikaciju izme\u0111u njegovih komponenti. Svaki <em>C2<\/em> \u010dvor funkcioni\u0161e kao privremeni posrednik, \u010duvaju\u0107i <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovane<\/a> podatke o zadacima unutar bilje\u0161ki, izmjena ili <em>Gist<\/em> zapisa na platformama koje odr\u017eava <em>GitHub<\/em>. Ovakav pristup uskla\u0111en je sa ranije zabilje\u017eenim taktikama, tehnikama i procedurama zlonamjernih aktera koji govore ruski jezik, a koje su primije\u0107ene u incidentima infiltracije otvorenog k\u00f4da.<\/p>\n<p>Posebno je zna\u010dajno kori\u0161tenje \u010dvorova koje odr\u017eava <em>GitHub<\/em> u komunikacione svrhe. Ove platforme pru\u017eaju zgodan i pristupa\u010dan na\u010din za <em>PyStoreRAT<\/em> zlonamjerni softver da \u010duva <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovane<\/a> podatke o zadacima bez izazivanja sumnje. Kori\u0161tenjem infrastrukture ove usluge, softver mo\u017ee da odr\u017ei nizak profil, a da pritom olak\u0161a efikasnu komunikaciju izme\u0111u svojih komponenti.<\/p>\n<p>Svaki <em>C2<\/em> \u010dvor slu\u017ei kao posrednik u ovom procesu, prenose\u0107i instrukcije od komandnih struktura vi\u0161eg nivoa do jedinica za izvr\u0161enje ni\u017eeg nivoa unutar arhitekture <em>PyStoreRAT<\/em> zlonamjernog softvera. Ovaj hijerarhijski pristup omogu\u0107ava da se zadaci i resursi efikasno distribuiraju na vi\u0161e \u010dvorova, osiguravaju\u0107i glatko izvr\u0161avanje operacija \u010dak i pod uslovima velikog optere\u0107enja.<\/p>\n<p>\u0160ifrovanje podataka zadataka predstavlja klju\u010dnu komponentu komandnog sistema. \u0160ifrovanjem informacija prije njihovog skladi\u0161tenja na platformama koje odr\u017eava <em>GitHub<\/em>, <em>PyStoreRAT<\/em> zlonamjerni softver obezbje\u0111uje povjerljivost i integritet komunikacionih kanala. Na taj na\u010din osjetljivi podaci ostaju za\u0161ti\u0107eni od neovla\u0161tenog pristupa ili prislu\u0161kivanja tre\u0107ih strana.<\/p>\n<p>Dodatno, kori\u0161tenje izdanja spremi\u0161ta, potvrda ili <em>Gist<\/em> unosa za skladi\u0161tenje zadataka pru\u017ea sloj zamagljivanja unutar arhitekture komandnog sistema. Sakrivanjem ovih komunikacija me\u0111u legitimnim aktivnostima <em>GitHub<\/em> platforme, <em>PyStoreRAT<\/em> zlonamjerni softver mo\u017ee da izbjegne pokretanje sistema za detekciju zasnovanih na analizi anomalija. Ovakva strategija zamagljivanja, u kombinaciji sa oslanjanjem na domene za jednokratnu upotrebu i rotiraju\u0107e mre\u017ee, dodatno ote\u017eava napore da se ukloni <em>PyStoreRAT<\/em> C2 infrastruktura.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Naznake_porijekla\"><\/span><strong>Naznake porijekla<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Jezi\u010dke naznake unutar komentara k\u00f4da i metapodataka o izgradnji pru\u017eaju dodatni uvid u porijeklo i motivacije koje stoje iza <em>PyStoreRAT<\/em> zlonamjernog softvera. Ovi tragovi ukazuju na rusku vezu, iako je pitanje porijekla i dalje predmet istrage.<\/p>\n<p>Posebno je zna\u010dajna upotreba specifi\u010dnih jezi\u010dkih obrazaca u komentarima k\u00f4da. Odre\u0111ene fraze ili idiomi mogu biti karakteristi\u010dni za pojedine jezike ili dijalekte, pa samim tim pru\u017eaju vrijedne podatke o porijeklu i istoriji razvoja aplikacije.<\/p>\n<p>Istraga o porijeklu je u toku, a razmatraju se razli\u010diti zlonamjerni akteri i njihove motivacije kao mogu\u0107a obja\u0161njenja za nastanak i upotrebu <em>PyStoreRAT <\/em>zlonamjernog softvera. Iako odre\u0111eni tragovi ukazuju na aktere koji govore ruski, ne treba zanemariti ni druge faktore koji mogu doprinijeti pojavi ovog vektora prijetnje u globalnom pejza\u017eu <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a>.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Pojava <em>PyStoreRAT<\/em> zlonamjernog softvera ima dalekose\u017ean uticaj na pojedince i organizacije. Kako ova napredna kampanja dobija na zamahu, posljedice postaju vi\u0161estruke i zna\u010dajne.<\/p>\n<p>Korisnici koji postanu \u017ertve prijetnje suo\u010davaju se sa ugro\u017eenom povjerljivo\u0161\u0107u, cjelovito\u0161\u0107u i dostupno\u0161\u0107u svojih osjetljivih podataka. Posebno zabrinjava uticaj na li\u010dnu bezbjednost, jer zlonamjerni akteri mogu ste\u0107i neovla\u0161teni pristup povjerljivim informacijama, uklju\u010duju\u0107i finansijske zapise i identifikaciona dokumenta.<\/p>\n<p>Sposobnost <em>PyStoreRAT <\/em>zlonamjernog softvera da se prilago\u0111ava i razvija predstavlja ozbiljan izazov za <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">stru\u010dnjake za sajber bezbjednost<\/a>. Kako softver stalno usavr\u0161ava svoje taktike, branioci moraju ostati budni i nastojati da budu korak ispred ove prijetnje. Neuspjeh u tome mo\u017ee dovesti do naru\u0161ene reputacije, finansijskih gubitaka i slabljenja povjerenja me\u0111u partnerima i korisnicima.<\/p>\n<p>Osim direktnih posljedica, prisustvo <em>PyStoreRAT <\/em>zlonamjernog softvera ima i \u0161ire posljedice po ekosistem sajber bezbjednosti. Kao primjer \u201c<em>evolutivnog koraka<\/em>\u201d u digitalnim prijetnjama, ova kampanja pokazuje da tradicionalne mjere za\u0161tite postaju sve nepouzdanije. Potreba za inovativnim i proaktivnim pristupima otkrivanju i suzbijanju prijetnji nikada nije bila ve\u0107a.<\/p>\n<p>Uticaj <em>PyStoreRAT <\/em>zlonamjernog softvera na sajber bezbjednost ne mo\u017ee se potcijeniti. Kako zlonamjerni akteri pomjeraju granice mogu\u0107eg, branioci moraju prilago\u0111avati svoje strategije da bi ostali ispred. Ulozi su visoki, a rizik od ozbiljnih posljedica je zna\u010dajan ako odbrana ne uspije.<\/p>\n<p>Dugoro\u010dno, efekti <em>PyStoreRAT<\/em> zlonamjernog softvera osje\u0107a\u0107e se godinama. Kao primjer evoluiraju\u0107e prijetnje, njegovo prisustvo \u0107e nastaviti da oblikuje ekosistem sajber bezbjednosti, primoravaju\u0107i branioce da stalno inoviraju i prilago\u0111avaju se.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Koncept <em>PyStoreRAT<\/em> zlonamjernog softvera predstavlja prelomnu ta\u010dku u razvoju digitalnih prijetnji. On pokazuje evoluciju od tradicionalnog zlonamjernog k\u00f4da do naprednih prijetnji oblikovanih vje\u0161ta\u010dkom inteligencijom, koje mogu izbje\u0107i otkrivanje i opstati unutar sistema.<\/p>\n<p>Autenti\u010dnost njegovih k\u00f4dnih baza i prate\u0107e dokumentacije dodatno bri\u0161e granicu izme\u0111u legitimnog softvera i zlonamjerne namjere. Ovakva sinteza nagla\u0161ava potrebu da branioci preispitaju svoje strategije i prilagode se novom pejza\u017eu prijetnji. Kori\u0161tenje <em>GitHub<\/em> skladi\u0161ta kao lansirne platforme u okviru <em>PyStoreRAT<\/em> kampanje pokazuje poznavanje ekosistema programera i zna\u010daj kredibiliteta unutar tih zajednica.<\/p>\n<p>Kroz dobro dokumentovane <em>README<\/em> datoteke, reference zavisnosti i dnevnike doprinosa, zlonamjerni akteri mogu oblikovati k\u00f4dne baze visokog kredibiliteta kojima \u0107e programeri lak\u0161e povjerovati. Ovaj pristup jasno ukazuje na va\u017enost dru\u0161tvenog in\u017eenjeringa u razvoju zlonamjernog softvera.<\/p>\n<p>Sposobnost <em>PyStoreRAT<\/em> u\u010ditava\u010da da se neprimjetno izvr\u0161ava nakon instalacije ili tokom procesa izgradnje pru\u017ea trajno upori\u0161te unutar okru\u017eenja programera. Njegova mogu\u0107nost profilisanja sistema i postavljanja korisnog tereta dodatno nagla\u0161ava prilagodljivost i potencijal za ugro\u017eavanje. Branioci moraju biti u stanju da prepoznaju ove osobine i razviju strategije koje uzimaju u obzir ovakav nivo slo\u017eenosti.<\/p>\n<p>Logika izbjegavanja u kampanji <em>PyStoreRAT<\/em>, osmi\u0161ljena da zaobi\u0111e mehanizme softvera za otkrivanje i odgovor na prijetnje (<em>EDR<\/em>), predstavlja ozbiljan izazov za tradicionalne modele za\u0161tite. Promjenom toka izvr\u0161avanja, zlonamjerni akteri mogu odlo\u017eiti intervale komunikacije i odr\u017eati postojanost unutar sistema. Ovaj razvoj doga\u0111aja pokazuje da branioci moraju preispitati oslanjanje na metode zasnovane isklju\u010divo na potpisima.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"PREPORUKE\"><\/span><strong>PREPORUKE<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>S obzirom na slo\u017eenost i prilagodljivost <em>PyStoreRAT<\/em> kampanje, jasno je da tradicionalni modeli za\u0161tite vi\u0161e nisu dovoljni. Preporuke koje slijede usmjerene su na ja\u010danje otpornosti i prilago\u0111avanje novom pejza\u017eu digitalnih prijetnji:<\/p>\n<ol>\n<li>Potrebno je biti informisan o najnovijim istra\u017eivanjima u vezi sa <em>PyStoreRAT<\/em> zlonamjernim softverom i njegovim varijantama, kako bi se razumjele njihove taktike, tehnike i procedure. Takvo znanje omogu\u0107ava dono\u0161enje bezbjednosnih odluka i obezbje\u0111uje da odbrambena strategija ostane sveobuhvatna i djelotvorna.<\/li>\n<li>Potrebno je ograni\u010diti korisni\u010dka prava i primijeniti kontrolu pristupa zasnovanu na ulogama (eng. <em>role-based access control \u2013 RBAC<\/em>) radi spre\u010davanja neovla\u0161tenog pristupa osjetljivim dijelovima sistema ili mre\u017ee. Svi korisnici moraju biti autentifikovani i ovla\u0161\u0107eni prije odobravanja pristupa odre\u0111enim resursima.<\/li>\n<li>Neophodno je sprovoditi temeljne bezbjednosne revizije, uklju\u010duju\u0107i procjene ranjivosti i penetracijska testiranja, kako bi se identifikovale potencijalne slabosti u sistemu. Ove aktivnosti doprinose ranom otkrivanju sumnjivog pona\u0161anja i sprje\u010davaju \u0161irenje <em>PyStoreRAT <\/em>zlonamjernog softvera.<\/li>\n<li>Softverski paketi i biblioteke treba da se preuzimaju isklju\u010divo iz pouzdanih izvora, kao \u0161to su zvani\u010dni menad\u017eeri paketa (<em>pip<\/em> za <em>Python<\/em>, <em>npm<\/em> za <em>js<\/em>). Poseban oprez je potreban pri kori\u0161tenju skladi\u0161ta tre\u0107ih strana.<\/li>\n<li>S obzirom na to da <em>PyStoreRAT<\/em> \u010desto koristi <em>GitHub<\/em> za distribuciju zlonamjernog softvera, preporu\u010duje se pra\u0107enje trendova i popularnih projekata radi identifikacije sumnjivih aktivnosti. Svako neobi\u010dno pona\u0161anje ili potencijalna prijetnja treba da bude prijavljena nadle\u017enim organima.<\/li>\n<li>Organizacije treba da razviju efikasan <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plan odgovora na sajber prijetnje<\/a> koji obuhvata otkrivanje, obuzdavanje, iskorjenjivanje, oporavak i u\u010denje iz bezbjednosnih incidenata povezanih sa <em>PyStoreRAT <\/em>zlonamjernom softveru. Osoblje mora biti obu\u010deno za sprovo\u0111enje ovog plana.<\/li>\n<li>Preporu\u010duje se kori\u0161tenje tehnologija zasnovanih na ma\u0161inskom u\u010denju i izolovanih okru\u017eenja (eng. <em>sandboxing<\/em>) radi identifikacije potencijalnih prijetnji prije nego \u0161to izazovu \u0161tetu.<\/li>\n<li>Svi softverski paketi, biblioteke, okviri, operativni sistemi, internet pregleda\u010di i aplikacije moraju biti redovno a\u017eurirani kako bi se obezbijedile najnovije bezbjednosne ispravke.<\/li>\n<li>Kriti\u010dni podaci treba da budu redovno kopirani na bezbjedne lokacije van primarnog sistema, uklju\u010duju\u0107i \u0161ifrovane eksterne diskove ili pouzdane usluge u oblaku.<\/li>\n<li>Potrebno je primjenjivati slo\u017eene <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinke<\/a> i autentifikaciju u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>) kako bi se sprije\u010dio neovla\u0161teni pristup \u010dak i u slu\u010daju kompromitovane lozinke.<\/li>\n<li>Mre\u017ee treba podijeliti na manje segmente radi izolacije osjetljivih podru\u010dja i smanjenja potencijalne \u0161tete u slu\u010daju ugro\u017eavanja.<\/li>\n<li>Postoje\u0107e politike moraju se periodi\u010dno procjenjivati i prilago\u0111avati novim prijetnjama, uz uskla\u0111ivanje sa najboljim praksama i regulatornim zahtevima.<\/li>\n<li>Zaposleni treba da budu edukovani o rizicima povezanima sa <em>PyStoreRAT <\/em>i drugim zlonamjernim softverima putem radionica i kurseva.<\/li>\n<li>Prilikom razmjene osjetljivih informacija treba koristiti \u0161ifrovane kanale (<em>HTTPS<\/em>\/<em>TLS<\/em>) i <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/17\/vpn-sigurno-mrezno-povezivanje\/\" target=\"_blank\" rel=\"nofollow noopener\">virtuelne privatne mre\u017ee<\/a> (eng. <em>virtual private networks \u2013 VPN<\/em>) za daljinski pristup.<\/li>\n<li>Sve eksterne biblioteke, okviri i usluge moraju biti redovno procjenjivane i a\u017eurirane radi smanjenja rizika.<\/li>\n<\/ol>\n<p>Za\u0161tita od <em>PyStoreRAT <\/em>zlonamjernog softvera zahtjeva budnost, svijest i proaktivne mjere kako bi se sprije\u010dilo da njegovo prikriveno pona\u0161anje ostane neotkriveno predugo. Primjenom ovih preporuka, organizacije mogu zna\u010dajno smanjiti rizik da postanu \u017ertve ove napredne varijante zlonamjernog softvera.<\/p>","protected":false},"excerpt":{"rendered":"<p>PyStoreRAT su sigurnosni istra\u017eiva\u010di kompanije Morphisec identifikovali kao dio napredne kampanje zlonamjernog softvera koja koristi la\u017ena GitHub skladi\u0161ta za distribuciju modularnog trojanca za udaljeni pristup (eng. remote access trojan \u2013 RAT), sposobnog da izvr\u0161ava&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":8701,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3720,3561,3430,1550,123,3351,3570,93,3721,3719,3722,282,3496,3723],"class_list":["post-8692","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-artificial-intelligence","tag-bezbjednost-podataka","tag-cyber-napad","tag-cyber-threats","tag-github","tag-hakerski-napadi","tag-it-bezbjednost","tag-malware","tag-odbrana-sistema","tag-pystorerat","tag-racunarska-sigurnost","tag-remote-access-trojan","tag-sajber-napadi","tag-vjestacka-inteligencija"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8692","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=8692"}],"version-history":[{"count":8,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8692\/revisions"}],"predecessor-version":[{"id":8702,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8692\/revisions\/8702"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/8701"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=8692"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=8692"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=8692"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}