Pesquisadores da Kaspersky identificam ataque no GitHub visando carteiras de criptomoedas
Por que confiar em nós?
Por mais de uma década, o Cryptonews cobre a indústria de criptomoedas, com o objetivo de fornecer insights informativos aos nossos leitores. Nossos jornalistas e analistas possuem vasta experiência em análise de mercado e tecnologias de blockchain. Nossa equipe se esforça diariamente para manter altos padrões editoriais, focando na precisão factual e na reportagem equilibrada em todas as áreas - desde criptomoedas e projetos de blockchain, até eventos da indústria, produtos e desenvolvimentos tecnológicos. Nossa presença contínua na indústria reflete nosso compromisso em fornecer informações relevantes no mundo em evolução dos ativos digitais. Leia mais sobre o Cryptonews.
Especialistas da Kaspersky descobriram um novo meio de ataque no GitHub. Em suma, os repositórios falsos estavam sendo usados para distribuir código malicioso com o objetivo de comprometer carteiras de criptomoedas.
A investigação revelou uma campanha chamada GitVenom, na qual cibercriminosos criaram centenas de repositórios no GitHub. Estes estavam disfarçados como projetos legítimos de automação para redes sociais, gerenciamento de carteiras e aprimoramento de jogos.
Apesar de se parecerem com softwares open-source confiáveis, esses repositórios não entregavam as funcionalidades prometidas.
Em vez disso, continham instruções ocultas para instalar bibliotecas criptográficas, baixar payloads adicionais e executar scripts maliciosos, colocando em risco usuários que baixavam e executavam o código.
Também pode interessar: Coisas a saber antes de comprar Bitcoin
Malware no GitHub atinge múltiplas linguagens
A campanha GitVenom espalha código malicioso por meio de projetos escritos em Python, JavaScript, C, C++ e C#, explorando diferentes técnicas para comprometer os dispositivos das vítimas.
Nos repositórios Python, os atacantes utilizam uma longa sequência de caracteres de tabulação para ocultar comandos que instalam pacotes como cryptography e fernet, permitindo que o malware descriptografe e execute cargas maliciosas.
Já nos projetos JavaScript, o código malicioso decodifica um script Base64, ativando rotinas ocultas de ataque.
Em C, C++ e C#, o golpe se esconde em arquivos de projeto do Visual Studio, onde se adiciona um script em lote disfarçado no momento da compilação do código. Segundo a Kaspersky, cada carga executada busca novos componentes armazenados em repositórios controlados pelos invasores no GitHub.
Entre os elementos adicionais baixados pelo malware, destaca-se um stealer baseado em Node.js. Este foi projetado para roubar credenciais salvas, dados de carteiras digitais e histórico de navegação. Essas informações são então compactadas e enviadas para os atacantes via Telegram.
Além disso, os cibercriminosos utilizam ferramentas de acesso remoto open-source, como AsyncRAT e Quasar Backdoor, para assumir o controle do sistema das vítimas.
Por fim, também empregou-se um hijacker de área de transferência para interceptar endereços de carteiras cripto e substituí-los por carteiras sob o controle dos criminosos, desviando os fundos sem que a vítima perceba.
Leia mais:
Mais Artigos
in numbers
