Pesquisadores da Kaspersky identificam ataque no GitHub visando carteiras de criptomoedas

Especialistas da Kaspersky descobriram um novo meio de ataque no GitHub. Em suma, os repositórios falsos estavam sendo usados para distribuir código malicioso com o objetivo de comprometer carteiras de criptomoedas.

A investigação revelou uma campanha chamada GitVenom, na qual cibercriminosos criaram centenas de repositórios no GitHub. Estes estavam disfarçados como projetos legítimos de automação para redes sociais, gerenciamento de carteiras e aprimoramento de jogos.

Apesar de se parecerem com softwares open-source confiáveis, esses repositórios não entregavam as funcionalidades prometidas.

Em vez disso, continham instruções ocultas para instalar bibliotecas criptográficas, baixar payloads adicionais e executar scripts maliciosos, colocando em risco usuários que baixavam e executavam o código.

Também pode interessar: Coisas a saber antes de comprar Bitcoin

Malware no GitHub atinge múltiplas linguagens

A campanha GitVenom espalha código malicioso por meio de projetos escritos em Python, JavaScript, C, C++ e C#, explorando diferentes técnicas para comprometer os dispositivos das vítimas.

Nos repositórios Python, os atacantes utilizam uma longa sequência de caracteres de tabulação para ocultar comandos que instalam pacotes como cryptography e fernet, permitindo que o malware descriptografe e execute cargas maliciosas.

Já nos projetos JavaScript, o código malicioso decodifica um script Base64, ativando rotinas ocultas de ataque.

Em C, C++ e C#, o golpe se esconde em arquivos de projeto do Visual Studio, onde se adiciona um script em lote disfarçado no momento da compilação do código. Segundo a Kaspersky, cada carga executada busca novos componentes armazenados em repositórios controlados pelos invasores no GitHub.

Entre os elementos adicionais baixados pelo malware, destaca-se um stealer baseado em Node.js. Este foi projetado para roubar credenciais salvas, dados de carteiras digitais e histórico de navegação. Essas informações são então compactadas e enviadas para os atacantes via Telegram.

Além disso, os cibercriminosos utilizam ferramentas de acesso remoto open-source, como AsyncRAT e Quasar Backdoor, para assumir o controle do sistema das vítimas.

Por fim, também empregou-se um hijacker de área de transferência para interceptar endereços de carteiras cripto e substituí-los por carteiras sob o controle dos criminosos, desviando os fundos sem que a vítima perceba.

Leia mais:

• Blockchain Tron domina entradas em stablecoins com US$ 824 mi em uma semana
• Operadora da OKX admite ter violado leis de combate à lavagem de dinheiro dos EUA
• Binance vai dar criptomoeda de graça: 40.000.000 RED que está em 70 blockchains