Hackers estão usando código GitHub falso para roubar seu Bitcoin: Kaspersky

O código do GitHub que você usa para criar um aplicativo moderno ou corrigir bugs existentes pode ser usado para roubar seus Bitcoin (BTC) ou outras Cripto , de acordo com um relatório da Kaspersky.

O GitHub é uma ferramenta popular entre desenvolvedores de todos os tipos, mas ainda mais entre projetos focados em criptomoedas, onde um simples aplicativo pode gerar milhões de dólares em receita.

O relatório alertou os usuários sobre uma campanha “GitVenom” que está ativa há pelo menos dois anos, mas está aumentando constantemente, envolvendo o plantio de código malicioso em projetos falsos na popular plataforma de repositório de código.

O ataque começa com projetos aparentemente legítimos do GitHub — como criar bots do Telegram para gerenciar carteiras de Bitcoin ou ferramentas para jogos de computador.

Cada um vem com um arquivo README polido, geralmente gerado por IA, para construir confiança. Mas o código em si é um cavalo de Troia: para projetos baseados em Python, os invasores escondem scripts nefastos após uma sequência bizarra de 2.000 guias, que descriptografa e executa uma carga maliciosa.

Para JavaScript, uma função desonesta é incorporada no arquivo principal, disparando o ataque de lançamento. Uma vez ativado, o malware puxa ferramentas adicionais de um repositório GitHub separado controlado por hacker.

(Uma aba organiza o código, tornando-o legível ao alinhar as linhas. A carga útil é a parte CORE de um programa que faz o trabalho real — ou o dano, no caso do malware.)

Uma vez que o sistema é infectado, vários outros programas entram em ação para executar o exploit. Um ladrão de Node.js coleta senhas, detalhes de carteira de Cripto e histórico de navegação, depois os agrupa e os envia via Telegram. Trojans de acesso remoto como AsyncRAT e Quasar assumem o controle do dispositivo da vítima, registrando pressionamentos de tecla e capturando capturas de tela.

Um “clipper” também troca endereços de carteira copiados com os próprios dos hackers, redirecionando fundos. Uma dessas carteiras rendeu 5 BTC — no valor de $485.000 na época — somente em novembro.

Ativo há pelo menos dois anos, o GitVenom atingiu mais duramente os usuários na Rússia, Brasil e Turquia, embora seu alcance seja global, segundo a Kaspersky.

Os invasores KEEP a discrição imitando o desenvolvimento ativo e variando suas táticas de codificação para escapar do software antivírus.

Como os usuários podem se proteger? Examinando qualquer código antes de executá-lo, verificando a autenticidade do projeto e desconfiando de READMEs excessivamente polidos ou históricos de commit inconsistentes.

Porque os pesquisadores T esperam que esses ataques parem tão cedo: “Esperamos que essas tentativas continuem no futuro, possivelmente com pequenas mudanças nos TTPs”, concluiu a Kaspersky em sua postagem.