Malware PyStoreRAT Bahaya Tool Palsu di GitHub

Malware PyStoreRAT: Bahaya Tool Palsu di GitHub

Posted on Desember 13, 2025

HovioneTechnology – Malware PyStoreRAT adalah jenis RAT (Remote Access Trojan).
Jadi, ini malware yang bisa memberi penyerang akses jarak jauh ke komputer korban.

Yang bikin bahaya, PyStoreRAT menyebar lewat repo GitHub palsu
yang kelihatan seperti tool OSINT, bot DeFi, atau “GPT utilities” biasa.
Di balik itu, ada kode kecil yang diam–diam mengunduh file berbahaya
dan memasang PyStoreRAT ke sistem korban.

Di artikel ini, kita bahas Malware PyStoreRAT dengan bahasa santai:
apa itu, bagaimana cara kerja, siapa yang jadi target,
bagaimana cara menghapusnya (malware removal),
dan kapan perlu pakai Endpoint Detection and Response (EDR).
Jadi, di akhir, kamu bisa lebih paham dan bisa ambil keputusan sendiri.

Table of Contents

1. Apa Itu Malware PyStoreRAT?

1.1 Definisi singkat buat pemula

Secara singkat, Malware PyStoreRAT adalah:

  • trojan jarak jauh (RAT),

  • yang berjalan diam–diam di background,

  • dan mengizinkan penyerang mengontrol komputer korban.

Jadi, komputer kamu tetap kelihatan normal.
Namun, di sisi lain, penyerang bisa:

  • mengirim perintah,

  • mengunduh modul tambahan,

  • dan mengelola sistem kamu dari jauh.

1.2 Kenapa Malware PyStoreRAT termasuk berbahaya?

PyStoreRAT berbahaya karena:

  • bersifat modular (bisa tambah fungsi baru kapan saja),

  • bisa menjalankan banyak jenis payload (EXE, DLL, PowerShell, dan lain–lain),

  • dan mencoba menghindari beberapa produk keamanan populer.

Selain itu, kampanye penyebarannya
menyasar orang yang justru dekat dengan dunia IT dan OSINT.
Ironisnya, orang–orang yang seharusnya paling waspada
justru bisa jadi korban duluan.

2. Bagaimana Kampanye Malware PyStoreRAT Menyerang Korban?

2.1 Abuse GitHub lewat repo dan tools palsu

Kampanye PyStoreRAT malware campaign berjalan cukup rapi.

Penyerang:

  • menghidupkan kembali akun GitHub lama,

  • lalu mengupload “project” yang kelihatan meyakinkan,

  • misalnya OSINT tool, GPT wrapper, atau DeFi bot.

Repositori ini:

  • punya README bagus,

  • memakai gambar AI yang rapi,

  • dan kadang sampai masuk daftar trending.

Setelah itu, barulah penyerang menambahkan “maintenance commit”
yang diam–diam memasukkan loader PyStoreRAT.

2.2 Teknik social engineering di sekitar Malware PyStoreRAT

Selain teknis, kampanye ini juga pakai social engineering.

Mereka:

  • mempromosikan repo di media sosial,

  • memoles branding supaya kelihatan profesional,

  • dan memancing rasa penasaran developer serta OSINT researcher.

Jadi, banyak korban menjalankan skrip
karena mengira itu sekadar utilitas Python/JavaScript yang simpel.
Padahal, skrip itu hanya berisi beberapa baris kode
untuk mengunduh file HTA jarak jauh dan menjalankannya via mshta.exe.

3. Cara Kerja Malware PyStoreRAT Ini di Belakang Layar

3.1 Tahap infeksi awal

Secara alur, infeksi PyStoreRAT biasanya seperti ini:

  1. Korban menjalankan skrip Python/JS dari repo GitHub.

  2. Skrip ini mengunduh file HTA (HTML Application) dari server penyerang.

  3. File HTA dijalankan oleh mshta.exe.

  4. PyStoreRAT lalu di-drop dan dijalankan di sistem.

Jadi, dari sudut pandang korban,
mereka hanya “coba tool baru dari GitHub”.
Namun, di sisi lain, mereka baru saja memberi akses ke penyerang.

3.2 Koneksi ke Command and Control (C2)

Setelah aktif, RAT ini:

  • mengumpulkan info sistem (OS, hak akses, antivirus),

  • mengecek apakah ada produk seperti Falcon atau Reason,

  • dan menyesuaikan teknik eksekusi supaya lebih susah dideteksi.

Lalu, PyStoreRAT:

  • mendaftarkan diri ke server C2,

  • menunggu perintah,

  • dan siap mengunduh modul baru kapan saja.

3.3 Kemampuan utama PyStoreRAT

Dari laporan teknis, PyStoreRAT mampu:

  • menjalankan EXE dan DLL tambahan,

  • menjalankan script PowerShell, Python, JavaScript, dan HTA,

  • mengunduh dan memasang paket MSI,

  • menyebar lewat USB dengan shortcut berbahaya,

  • serta memasang stealer lain seperti Rhadamanthys.

Selain itu, malware ini memakai scheduled task
yang disamarkan sebagai update aplikasi NVIDIA
untuk bertahan di sistem.

4. Siapa yang Sering Jadi Target PyStoreRAT?

4.1 IT, OSINT, dan developer penasaran

Dalam praktiknya, kampanye PyStoreRAT
banyak menyasar:

  • IT admin,

  • cybersecurity analyst,

  • OSINT researcher,

  • dan developer yang suka coba tool baru.

Namun, di sisi lain,
pengguna biasa yang ikut–ikutan download tool dari GitHub
juga bisa ikut terkena.

4.2 Kenapa mereka yang disasar?

Target tersebut menarik karena:

  • punya akses ke banyak sistem,

  • sering memegang data sensitif,

  • dan biasanya dipercaya di organisasi.

Jadi, kalau satu orang di level itu terinfeksi,
penyerang bisa punya pijakan yang sangat kuat
untuk melompat ke sistem lain.

5. Tanda-Tanda Perangkat Terinfeksi

5.1 Gejala teknis di sistem

Karena RAT ini cukup stealthy,
gejalanya bisa halus.
Namun, beberapa tanda yang patut dicurigai:

  • proses mshta.exe sering muncul tanpa alasan jelas,

  • ada scheduled task “aneh” yang mengatasnamakan NVIDIA,

  • koneksi keluar ke domain yang tidak dikenal,

  • dan aktivitas disk atau CPU meningkat saat idle.

Selain itu, kalau kamu pakai EDR,
kadang akan muncul alert terkait eksekusi HTA,
download script jarak jauh,
atau eksekusi modul PowerShell yang tidak biasa.

5.2 Gejala dari sisi pengguna

Dari sisi pemakaian sehari–hari,
gejalanya bisa berupa:

  • komputer terasa berat padahal tidak buka apa–apa,

  • browser kadang redirect ke halaman aneh,

  • muncul tool atau aplikasi yang tidak kamu instal,

  • atau antivirus sering memperingatkan tapi kamu abaikan.

Jadi, kalau beberapa hal ini muncul bersamaan,
lebih baik anggap serius dulu,
baru cari tahu lebih jauh.

6. Peran Endpoint Detection and Response (EDR)

6.1 Bedanya antivirus biasa dan EDR

Antivirus tradisional biasanya fokus ke:

  • signature file,

  • dan pola statis malware.

Sedangkan Endpoint Detection and Response (EDR)
lebih fokus ke perilaku.

EDR memantau:

  • proses yang memanggil mshta.exe dengan cara aneh,

  • script yang mengunduh file HTA dari sumber tidak wajar,

  • dan perubahan sistem yang mirip pola RAT.

Jadi, meski Malware PyStoreRAT berubah nama file,
EDR masih bisa mendeteksi dari pola aktivitas.

6.2 Contoh deteksi perilaku mencurigakan

Contoh alert yang mungkin muncul:

  • “Suspicious HTA execution via Python script”,

  • “Unusual scheduled task creation mimicking NVIDIA update”,

  • atau “Remote script execution from untrusted source”.

Selain itu, beberapa EDR
bisa langsung mengisolasi endpoint
sebelum penyerang sempat menjalankan perintah lebih jauh.

7. Langkah Removal untuk Malware PyStoreRAT

7.1 Langkah cepat untuk pengguna rumahan

Kalau kamu curiga sudah kena,
coba langkah dasar ini:

  1. Putuskan koneksi internet sementara.
    Jadi, RAT berhenti mengirim dan menerima perintah.

  2. Jalankan full scan dengan antivirus/antimalware.
    Pilih deep scan, bukan quick scan.

  3. Ikuti rekomendasi tool keamanan.
    Hapus atau karantina semua temuan.

  4. Cek program startup dan scheduled task.
    Hapus entry yang mencurigakan
    (terutama yang baru muncul dan berkaitan dengan “update” palsu).

  5. Ganti semua password penting.
    Lakukan dari perangkat lain yang kamu yakin bersih.

7.2 Langkah terstruktur untuk tim IT

Untuk tim IT atau SOC, langkahnya biasanya:

  • isolasi endpoint yang mencurigakan,

  • kumpulkan artefak dan log untuk analisis,

  • lakukan PyStoreRAT analysis di lab terpisah,

  • identifikasi scope infeksi di seluruh jaringan,

  • lalu bersihkan, patch, dan lakukan hardening.

Selain itu, tim bisa menambah rule baru di EDR
untuk mendeteksi pola serangan serupa di masa depan.

7.3 Tabel ringkas langkah removal berdasarkan level

Level Pengguna Fokus Utama Tindakan Singkat
Pengguna rumahan Bersihkan dan amankan akun Putus internet, full scan, hapus RAT, ganti password
Tim kecil Hentikan dan cek penyebaran Isolasi PC, cek log, edukasi user
Enterprise/SOC Incident response penuh Forensik, scope, cleanup, tuning EDR

Tabel ini bisa kamu pakai
sebagai panduan singkat saat insiden terjadi.

8. Tips Praktis Supaya Tidak Kena Malware PyStoreRAT

8.1 Kebiasaan aman di GitHub dan internet

Beberapa tips sederhana tetapi penting:

  • jangan asal jalankan skrip dari repo yang baru kamu kenal,

  • baca dulu isi kode, terutama kalau hanya beberapa baris,

  • curigai skrip yang tugasnya cuma download dan execute HTA,

  • jangan mudah percaya pada jumlah stars dan forks,

  • dan selalu cek apakah repo itu benar–benar dipakai komunitas.

Selain itu, jangan instal tool “security” atau “OSINT”
hanya karena judulnya keren.

8.2 Pengaturan perangkat yang bantu keamanan

Kamu juga bisa:

  • aktifkan update otomatis OS dan browser,

  • pakai satu solusi keamanan yang kamu percaya,

  • batasi hak admin untuk pemakaian harian,

  • dan rutin backup data penting ke media terpisah.

Karena itu, walaupun ada kampanye Malware PyStoreRAT
yang menyasar banyak orang,
risiko ke kamu bisa jauh lebih kecil.

9. Kesalahan Umum Saat Menghadapi Serangan Malware PyStoreRAT

9.1 Meremehkan karena komputer “masih normal”

Banyak orang berpikir,
“Kalau tidak ada pop-up aneh, berarti aman.”

Padahal, RAT seperti PyStoreRAT
justru didesain supaya tidak terlalu kelihatan.

Jadi, kalau kamu merasa ada yang berubah,
jangan tunggu sampai parah.

9.2 Mengandalkan satu tools saja

Kesalahan lain adalah
hanya mengandalkan satu antivirus gratis
tanpa update rutin.

Selain itu, orang sering malas baca log,
malas cek scheduled task,
dan malas belajar sedikit soal keamanan dasar.

Padahal, kombinasi kebiasaan + tools
jauh lebih kuat daripada mengandalkan tools saja.

10. FAQ Seputar Malware PyStoreRAT

10.1 Apakah Malware PyStoreRAT hanya menyerang profesional?

Tidak.
Memang kampanye utamanya menyasar IT dan OSINT,
namun siapa pun yang menjalankan skrip berbahaya
tetap bisa jadi korban.

10.2 Apakah hapus repo GitHub sudah cukup?

Belum tentu.
Begitu skrip dijalankan,
payload bisa sudah berada di sistem.

Jadi, kamu tetap perlu melakukan scan dan pengecekan sistem.

10.3 Apakah PyStoreRAT bisa mencuri crypto wallet?

Beberapa laporan menyebut
PyStoreRAT bisa memindai file terkait wallet tertentu.
Karena itu, kalau kamu pegang aset crypto,
risikonya bisa lebih tinggi.

10.4 Apakah reinstall Windows selalu menyelesaikan masalah?

Sering kali iya,
kalau reinstall dilakukan benar–benar bersih.
Namun, kalau kamu restore backup yang sudah terinfeksi,
masalah bisa muncul lagi.

10.5 Apakah EDR wajib untuk melawan PyStoreRAT?

Untuk pengguna rumahan, tidak selalu wajib.
Namun, untuk kantor dan organisasi,
EDR sangat membantu mendeteksi pola serangan
seperti eksekusi HTA mencurigakan atau loader script.

11. Penutup: Apa Langkah Kamu Berikutnya mencegah Malware PyStoreRAT?

Singkatnya, Malware PyStoreRAT
bukan sekadar nama malware baru.
Jadi, kamu perlu melihatnya
sebagai contoh nyata ancaman RAT di era sekarang.

Namun, kamu tidak perlu langsung panik.
Kalau kamu:

  • lebih kritis sebelum menjalankan skrip dari internet,

  • rutin update OS dan aplikasi,

  • memakai antivirus atau EDR yang layak,

  • dan tahu langkah malware removal dasar,

maka risiko serangan bisa turun jauh.