Pesquisadores de cibersegurança estão alertando sobre uma campanha em andamento que está mirando jogadores e investidores de criptomoedas sob o disfarce de projetos de código aberto hospedados no GitHub.
A campanha, que abrange centenas de repositórios, foi apelidada de GitVenom pela Kaspersky.
"Os projetos infectados incluem um instrumento de automação para interagir com contas do Instagram, um bot do Telegram que permite o gerenciamento remoto de carteiras Bitcoin e uma ferramenta crack para jogar o game Valorant," disse o fornecedor russo de cibersegurança.
Toda essa suposta funcionalidade do projeto era falsa, e os cibercriminosos por trás da campanha roubaram dados pessoais e bancários e sequestraram endereços de criptowallets da área de transferência (clipboard). A atividade maliciosa facilitou o roubo de 5 bitcoins, aproximadamente avaliados em $456,600 até o momento da redação.
Acredita-se que a campanha esteja em andamento há pelo menos dois anos, quando alguns dos projetos falsos foram publicados.
A maioria das tentativas de infecção foi registrada na Rússia, Brasil e Turquia.
Os projetos em questão são escritos em várias linguagens de programação, incluindo Python, JavaScript, C, C++ e C#.
Mas independentemente da linguagem usada, o objetivo final é o mesmo: lançar uma carga maliciosa embutida responsável por recuperar componentes adicionais de um repositório GitHub controlado pelo atacante e executá-los.
Entre esses módulos, destaca-se um ladrão de informações Node.js que coleta senhas, informações de contas bancárias, credenciais salvas, dados de carteiras de criptomoedas e histórico de navegação na web; comprime-os em um arquivo .7z, e os exfiltra para os atores da ameaça via Telegram.
Também são baixadas pelos projetos falsos do GitHub ferramentas de administração remota como AsyncRAT e Quasar RAT que podem ser usadas para comandar hosts infectados e um malware de substituição que pode substituir endereços de carteira copiados na área de transferência por uma carteira de propriedade do adversário, de modo a redirecionar os ativos digitais para os atores da ameaça.
"Como plataformas de compartilhamento de código, como o GitHub, são usadas por milhões de desenvolvedores em todo o mundo, os atores de ameaças certamente continuarão usando softwares falsos como um atrativo de infecção no futuro," disse o pesquisador da Kaspersky, Georgy Kucherin.
Por essa razão, é crucial manusear o processamento de código de terceiros com muito cuidado.
Antes de tentar executar esse código ou integrá-lo a um projeto existente, é fundamental verificar cuidadosamente quais ações são realizadas por ele.
O desenvolvimento ocorre enquanto a Bitdefender revelou que golpistas estão explorando grandes torneios de e-sports como o IEM Katowice 2025 e o PGL Cluj-Napoca 2025 para mirar em jogadores do popular jogo de vídeo Counter-Strike 2 (CS2) com a intenção de defraudá-los.
"Ao sequestrar contas do YouTube para se passarem por jogadores profissionais como s1mple, NiKo e donk, os cibercriminosos estão atraindo fãs para sorteios fraudulentos de skins de CS2 que resultam em contas Steam roubadas, roubo de criptomoedas e perda de itens valiosos dentro do jogo," disse a empresa romena de cibersegurança.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...