近年來，網路犯罪的手段持續演進，攻擊者不再滿足於傳統的釣魚郵件或簡單的惡意附件。一場精心策劃的新型惡意軟體攻擊活動正在利用熱門開發者平台GitHub，攻擊目標是 IT 管理、網路安全和開源情報 ( OSINT ) 領域的專業人士。這場攻擊活動的核心是一種名為 PyStoreRAT 的新型遠端存取木馬（RAT），其複雜性和隱蔽性標誌著供應鏈攻擊達到了新的高度。

人工智慧輔助供應鏈攻擊 先發制人的網路安全防禦公司 Morphisec 的調查顯示，攻擊者的巧妙策略始於過去幾個月，他們重新啟動了休眠的 GitHub 帳戶，其中一些帳戶已經多年未使用。 這些帳號隨後開始發布看似真實、製作精良的項目，這些項目均利用人工智慧（AI）技術創建，旨在迅速建立信任。這些項目包括一些實用軟體，例如開源情報（OSINT）工具、加密貨幣交易機器人（DeFi機器人）和人工智慧聊天封裝程式（GPT封裝程式）。 這些看似可信的專案/程式碼庫製作精良，其中一些迅速登上了GitHub的熱門名單。犯罪者只有在獲得這種關注度和信任之後，才會以簡單的「維護」為幌子，悄悄地進行程式碼更新，植入PyStoreRAT後門。 這種將人工智慧生成的合法性、社會工程、雲端彈性以及自適應執行相結合的攻擊方式，被認為是網路威脅領域的一次“進化”，使得傳統的安全措施「從根本上變得不可靠」。正因如此，Morphisec強調，負責保護開發環境或敏感資料的防禦者必須了解這種惡意軟體的工作原理，才能真正保護系統安全。

PyStoreRAT 本質上是一種遠端存取木馬，旨在授予攻擊者對受害者電腦長期且隱秘的控制權。Morphisec的研究人員指出，這次惡意軟體活動的獨特之處在於其周密的規劃和對人工智慧生成工具的使用，這使其在第一時間看起來具有高度的合法性，從而避開了用戶和許多自動化安全機制的警惕。

這種攻擊流程體現了一種新型的供應鏈滲透策略：攻擊者利用 AI 創造出功能強大、吸引人的軟體專案，利用人們對開源工具的信任心理，將惡意程式碼巧妙地隱藏在看似良性的「維護」更新中。當受害者，特別是那些積極尋找 OSINT 解決方案、加密貨幣工具或 IT 管理輔助工具的專業人士下載並執行這些專案時，便無意中啟動了 PyStoreRAT。

一旦進入目標系統，PyStoreRAT 的設計具備高度的隱蔽性和多功能性。它不僅執行完整的受害者電腦資料收集，進行系統環境分析，還能部署其他類型的惡意軟體。值得注意的是，研究人員發現它與其他臭名昭著的惡意程式具有協同作用，例如資料竊取惡意軟體 Rhadamanthys Stealer 和 Python Loader。這表明 PyStoreRAT 不僅僅用於初始滲透，它還作為一個多用途的基礎設施，用於部署更具破壞性的次級酬載。

更令人擔憂的是 PyStoreRAT 的高度適應性。Morphisec 的研究揭露，該惡意軟體具備逃避偵測的能力，當它偵測到系統上存在特定的資安軟體，例如 CrowdStrike Falcon 或來自 CyberReason 和 ReasonLabs 等公司的產品時，它會主動切換啟動方法以降低其在系統中的可見度。此外，該惡意軟體還能透過可攜式儲存裝置（如 USB 隨身碟）進行傳播，並能從其操作者處動態地拉取新的元件，這使其具備了驚人的彈性和持久性。

在控制與基礎設施方面，研究人員發現 PyStoreRAT 使用一個循環、旋轉的控制伺服器系統。這種設計使攻擊者能夠迅速更新命令，並顯著增加了安全團隊追蹤和關閉整個惡意軟體操作的難度。程式碼中發現的俄語字串，例如「СИСТЕМА」（意為「系統」），進一步暗示整個行動的規模和複雜性遠超「一般 GitHub 惡意軟體活動」的範疇，顯示其背後有著專業且組織嚴密的團體在運作。

Morphisec 研究人員強調，面對這種結合了 AI、社會工程和自適應技術的「進化性」威脅，傳統的邊界防禦和簽章型偵測方法已經變得不可靠。對於負責保護開發環境、程式碼庫或敏感資料的防禦者來說，深入了解 PyStoreRAT 的運作機制至關重要。這包括在開發流程中實施更嚴格的供應鏈安全檢查、對下載的開源專案進行嚴格的沙盒測試，以及採用行為分析和零信任原則來保護系統免受此類高階威脅的侵害。