Atenção ao malware oculto no GitHub

A Equipa Global de Investigação e Análise (GReAT) da Kaspersky descobriu centenas de repositórios de código aberto infetados com malware multifacetado, dirigidos a gamers e investidores de criptomoedas no âmbito de uma nova campanha apelidada pela Kaspersky de GitVenom.

Entre os diferentes códigos, encontram-se um instrumento de automação para interagir com contas de Instagram, um bot do Telegram que permite a gestão remota de carteiras Bitcoin e uma ferramenta de crack para jogar Valorant.

Esta funcionalidade era falsa e os cibercriminosos por detrás da campanha roubaram dados pessoais e bancários e desviaram endereços de criptomoedas da área de transferência. Através destes esquemas, os cibercriminosos conseguiram roubar 5 Bitcoins (cerca de $485.000 na altura da investigação).

A Kaspersky detetou o uso dos repositórios infetados em todo o mundo, com a maioria dos casos no Brasil, Turquia e Rússia.

Estes repositórios foram armazenados no GitHub, uma plataforma que permite aos programadores gerir e partilhar o seu código.

Os atacantes garantiram que os repositórios no GitHub parecessem legítimos para os potenciais alvos, utilizando descrições de projetos atraentes provavelmente geradas com IA. Se o código destes repositórios fosse lançado, o dispositivo da vítima ficaria infetado com malware e poderia ser controlado remotamente pelos atacantes.

Embora os códigos tenham sido escritos em várias linguagens de programação – Python, JavaScript, C, C++ e C# – os payloads maliciosos armazenados tinham o mesmo objetivo: descarregar outros componentes maliciosos, de um repositório GitHub controlado pelo atacante, e executá-los, diz a Kaspersky.

Estes componentes incluem um stealer que recolhe passwords, informações de contas bancárias, credenciais guardadas, credenciais para as carteiras de criptomoedas e histórico de navegação, arquivando-os num arquivo .7z, de forma a enviar todas as informações por Telegram para os atacantes.

Outros componentes maliciosos descarregados incluem ferramentas de administração remota, que podem ser utilizadas para monitorizar e controlar remotamente o computador da vítima através de uma ligação encriptada segura, e um sequestrador da área de transferência que procura os endereços de carteiras de criptomoedas e os substitui por outros controlados pelo atacante.

Uma das grandes consequências destes ataques afetou as carteiras Bitcoin. Em novembro de 2024, uma carteira Bitcoin, controlada pelo atacante, recebeu indevidamente uma soma de cerca de 5 BTC (aproximadamente 485.000 dólares na altura da investigação).

“Como as plataformas de partilha de código, como o GitHub, são utilizadas por milhões de programadores em todo o mundo, os cibercriminosos continuarão certamente a utilizar software falso como um isco no futuro. Por esse motivo, é crucial lidar com o processamento de código de terceiros com muito cuidado”, afirma Georgy Kucherin, investigador de Segurança do Kaspersky GReAT.