Uma campanha furtiva de malware está sequestrando carteiras de criptomoedas ao integrar código malicioso em projetos falsos de código aberto no Github, enganando desenvolvedores para executar cargas úteis ocultas.
Hackers Usando o Github para Roubar Criptomoeda—Malware Escondido em Código Aberto
Este artigo foi publicado há mais de um ano. Algumas informações podem não ser mais atuais.
ESCRITO POR
PARTILHAR
Malware Furtivo no Github Está Sequestrando Carteiras de Criptomoedas
Uma campanha cibernética descoberta recentemente, conhecida como Gitvenom, tem como alvo usuários do Github, incorporando código malicioso em projetos de código aberto aparentemente legítimos. Os pesquisadores da Kaspersky, Georgy Kucherin e Joao Godinho, identificaram a operação, que envolve cibercriminosos criando repositórios fraudulentos que imitam ferramentas de software reais.
Os pesquisadores descreveram:
Ao longo da campanha Gitvenom, os atores da ameaça por trás dela criaram centenas de repositórios no Github que contêm projetos falsos com código malicioso – por exemplo, um instrumento de automação para interagir com contas do Instagram, um bot do Telegram que permite gerenciar carteiras de bitcoin, e uma ferramenta de hacking para o videogame Valorant.
Os atacantes foram a grandes extensões para fazer esses repositórios parecerem autênticos, usando arquivos README.md gerados por IA, adicionando várias tags e inflando artificialmente históricos de commit para aumentar a credibilidade.
O código malicioso é incorporado de maneira diferente, dependendo da linguagem de programação usada nos projetos falsos. Em repositórios Python, os atacantes escondem a carga útil usando longas linhas de espaço em branco seguidas por um comando de descriptografia de script. Em projetos baseados em Javascript, eles ocultam o malware dentro de uma função que decodifica e executa um script codificado em Base64. Para projetos C, C++ e C#, os atacantes colocam um script batch oculto nos arquivos de projeto do Visual Studio, garantindo que o malware seja executado quando o projeto é construído.
Uma vez executados, esses scripts baixam componentes maliciosos adicionais de um repositório Github controlado pelo atacante. Estes incluem um stealer baseado em Node.js que extrai credenciais, dados de carteiras de criptomoedas e histórico de navegação antes de enviá-los para os atacantes via Telegram, bem como ferramentas de acesso remoto de código aberto como AsyncRAT e backdoor Quasar. Um sequestrador de área de transferência também foi implantado, substituindo endereços de carteiras de criptomoedas copiadas por endereços controlados por atacantes.
A campanha Gitvenom está ativa há pelo menos dois anos, com tentativas de infecção detectadas mundialmente, particularmente na Rússia, Brasil e Turquia. Pesquisadores da Kaspersky enfatizaram os crescentes riscos de repositórios maliciosos, alertando:
Como plataformas de compartilhamento de código, como o Github, são usadas por milhões de desenvolvedores em todo o mundo, é certo que atores de ameaça continuarão usando software falso como isca de infecção.
“Por essa razão, é crucial lidar com o processamento de código de terceiros com muito cuidado. Antes de tentar executar tal código ou integrá-lo em um projeto existente, é fundamental verificar minuciosamente quais ações ele executa,” alertaram. Como plataformas de código aberto continuam a ser exploradas por cibercriminosos, os desenvolvedores devem agir com cautela para evitar que seus ambientes sejam comprometidos.
