O código do GitHub que você usa para construir um aplicativo moderno ou corrigir bugs existentes pode ser usado para roubar seus bitcoins (BTC) ou outras criptomoedas, de acordo com um relatório da Kaspersky.
O GitHub é uma ferramenta popular entre desenvolvedores de todos os tipos, mas ainda mais entre projetos focados em criptomoedas, onde um simples aplicativo pode gerar milhões de dólares em receita.
O relatório alertou os usuários sobre uma campanha chamada “GitVenom”, que está ativa há pelo menos dois anos, mas está em constante crescimento, envolvendo a inserção de código malicioso em projetos falsos na popular plataforma de repositório de código.
O ataque começa com projetos do GitHub aparentemente legítimos – como criar bots do Telegram para gerenciar carteiras de bitcoin ou ferramentas para jogos de computador. Cada um vem com um arquivo README bem elaborado, muitas vezes gerado por IA, para construir confiança. Mas o código em si é um cavalo de Troia: para projetos baseados em Python, os atacantes escondem um script malicioso após uma sequência bizarra de 2.000 abas, que descriptografa e executa um payload malicioso. Para JavaScript, uma função maliciosa é incorporada ao arquivo principal, desencadeando o ataque. Uma vez ativado, o malware extrai ferramentas adicionais de um repositório do GitHub controlado por hackers.
(Uma aba organiza o código, tornando-o legível ao alinhar as linhas. O payload é a parte central de um programa que faz o trabalho real – ou o dano, no caso de malware.)
Uma vez que o sistema está infectado, vários outros programas entram em ação para executar a exploração. Um stealer Node.js colhe senhas, detalhes de carteira de criptomoeda e histórico de navegação, em seguida, agrupa e envia-os via Telegram. Cavalos de Troia de acesso remoto como AsyncRAT e Quasar assumem o controle do dispositivo da vítima, registrando as teclas pressionadas e capturando capturas de tela. Um “clipper” também troca os endereços de carteira copiados pelos próprios hackers, redirecionando fundos. Uma dessas carteiras arrecadou 5 BTC – no valor de US $ 485.000 na época – somente em novembro.
Ativo há pelo menos dois anos, o GitVenom atingiu com mais força os usuários na Rússia, Brasil e Turquia, embora sua abrangência seja global, de acordo com a Kaspersky. Os atacantes mantêm a discrição imitando o desenvolvimento ativo e variando suas táticas de codificação para evitar o software antivírus.
Como os usuários podem se proteger? Examinando qualquer código antes de executá-lo, verificando a autenticidade do projeto e desconfiando de READMEs excessivamente elaborados ou históricos de commit inconsistentes.
Porque os pesquisadores não esperam que esses ataques parem tão cedo: “Esperamos que essas tentativas continuem no futuro, possivelmente com pequenas alterações nas TTPs”, concluiu a Kaspersky em sua postagem.
Deixe um comentário