A empresa de cibersegurança Kaspersky identificou uma campanha de ataques cibernéticos no GitHub em que hackers criam projetos falsos com o objetivo de distribuir malware e roubar criptomoedas.
De acordo com o relatório publicado em 24 de fevereiro pelo analista Georgy Kucherin, essa estratégia, chamada de “GitVenom”, afetou mercados em todo o mundo, mas com um foco especial em usuários que compram criptomoedas no Brasil, na Rússia e na Turquia.
A Kaspersky também descobriu que essa técnica vem sendo usada há pelo menos dois anos, o que sugere que tem sido eficaz para atrair vítimas. O impacto desses ataques já gerou perdas consideráveis. Em 2023, pelo menos um usuário caiu no golpe e perdeu 5 bitcoins, avaliados em aproximadamente 442 mil dólares.
Projetos falsificados com malware sofisticado
Os cibercriminosos desenvolveram centenas de repositórios no GitHub contendo trojans de acesso remoto (RATs), spyware (info-stealers) e sequestradores de área de transferência, com o objetivo de interceptar informações valiosas e desviar fundos.
Entre os projetos fraudulentos detectados, destacam-se um suposto bot do Telegram para gerenciar carteiras de Bitcoin e uma ferramenta para automatizar interações em contas do Instagram. No entanto, esses arquivos não cumprem as funções descritas e servem apenas como isca para infectar usuários.
Os especialistas explicaram que os hackers se esforçaram para fazer com que seus projetos parecessem legítimos, incorporando instruções detalhadas e arquivos de informação bem elaborados, possivelmente gerados com ferramentas de inteligência artificial.
Além disso, inflaram artificialmente o número de commits (modificações no código) e atualizaram constantemente arquivos de marcação de tempo para simular atividade nos repositórios.
Como esses ataques operam?
Os projetos fraudulentos contêm cargas maliciosas que executam diversas ações após serem baixadas:
- Roubo de credenciais: Um info-stealer extrai dados de login, informações de carteiras de criptomoedas e histórico de navegação.
- Sequestro de área de transferência: Um software malicioso substitui os endereços de carteira copiados pelos usuários por endereços controlados pelos atacantes, redirecionando os fundos sem que a vítima perceba.
- Exfiltração de dados via Telegram: Todas as informações roubadas são enviadas aos hackers por meio dessa plataforma de mensagens.
Recomendações para evitar ser vítima
Como plataformas como o GitHub são amplamente utilizadas por desenvolvedores no mundo todo, a Kaspersky alerta que os hackers continuarão usando projetos falsos para distribuir malware.
Para evitar cair nesse tipo de golpe, os especialistas recomendam:
- Verificar a autenticidade dos projetos antes de baixar qualquer código de terceiros.
- Analisar o código-fonte para identificar possíveis ameaças antes de executá-lo.
- Manter o software de segurança atualizado para detectar arquivos maliciosos.
- Não confiar em projetos com pouca atividade real, mesmo que pareçam ter muitas alterações recentes.
Segundo a Kaspersky, os atacantes continuarão refinando seus métodos e provavelmente modificarão suas táticas no futuro para evitar detecções. A vigilância e as boas práticas de cibersegurança serão fundamentais para evitar cair nesse tipo de golpe.