文章总结： CSTIS监测发现针对开发者及OSINT人员的PyStoreRAT新型无文件RAT。该恶意软件通过GitHub虚假仓库伪装开源工具，利用AI生成内容诱导执行，经由mshta.exe无文件运行，具备窃密、勒索及持久化控制能力。其隐蔽性极强，支持环境感知与模块化攻击。建议相关单位立即排查，更新杀软并避免运行不明脚本，通过数据备份防范数据泄露与系统受控风险。 综合评分： 90 文章分类： 恶意软件,威胁情报,解决方案

关于防范PyStoreRAT恶意软件的风险提示

CSTIS CSTIS

网络安全威胁和漏洞信息共享平台

2026年3月4日 15:41 北京

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现PyStoreRAT恶意软件持续活跃，其主要攻击目标为开发者及开源情报（OSINT）从业人员，可能导致数据泄露、系统受控、业务中断等风险。

PyStoreRAT是一种新型无文件远程访问木马（RAT），自2025年年中起处于活跃状态。该恶意软件通过在GitHub投放伪装成“Spyder开源情报工具”、“HacxGPT”等实用工具的虚假代码仓库，并使用人工智能生成图片与专业文档增强伪装，利用开发者对开源社区的信任，诱导用户运行仓库内的Python或JavaScript脚本。一旦运行将会触发隐藏子进程，在后台静默下载远程HTML应用程序文件并通过Windows原生程序mshta.exe执行，启动感染链。感染后，PyStoreRAT可在受感染设备中投放信息窃取器（如“拉达曼迪斯”）、实施勒索、植入间谍软件，或动态加载EXE、DLL、PowerShell等多种恶意载荷扩大破坏。

PyStoreRAT隐蔽性极强，一是无文件执行，通过HTML应用程序子系统运行，无磁盘痕迹；二是环境感知，内置针对安全工具的规避逻辑，发现安全软件时用命令行包装器启动以切断关联；三是模块化设计使其能动态调整攻击，还可伪装成“英伟达应用自动更新”计划任务（每10分钟或登录时运行）长久控制目标系统。

建议相关单位和用户立即组织排查，更新防病毒软件，实施全盘病毒查杀，避免运行来源不明的Python或JavaScript脚本，并可通过定期备份数据等措施，防范网络攻击风险。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全威胁和漏洞信息共享平台 CSTIS CSTIS《关于防范PyStoreRAT恶意软件的风险提示》