Uma grande campanha de phishing atacou usuários do GitHub com malware destinado a drenar criptomoedas, enviado por meio de convites falsos para o programa Y Combinator (YC) W2026.
O Y Combinator é uma aceleradora de startups que financia e orienta projetos em estágio inicial, conectando fundadores a uma rede de ex-alunos e investidores de venture capital.
Os criminosos exploraram o sistema de notificações do GitHub para disparar as mensagens fraudulentas.
Eles criaram issues em diversos repositórios e marcaram usuários específicos nas menções.
Sempre que um nome de conta é citado em um issue, o GitHub envia uma notificação automaticamente.
Como o e-mail partia de uma fonte legítima, foi diretamente para a caixa de entrada das vítimas.
O convite utilizado como isca prometia a possibilidade de inscrição na turma Winter 2026 (W2026), a próxima rodada de captação do YC, alegando um fundo total de US$ 15 milhões.
Em alguns repositórios, desenvolvedores relataram até 500 issues abertos por um usuário novo, criado apenas uma semana antes.
Ao final de cada issue, os atacantes listavam nomes de usuários para garantir o envio das notificações.
O site BleepingComputer compilou uma lista com cerca de 30 usuários visados.
Não há uma ligação óbvia entre eles, considerando os projetos nos quais atuam.
No entanto, o objetivo dos criminosos era roubar criptomoedas, e desenvolvedores têm maior probabilidade de possuir wallets digitais.
Os destinatários foram induzidos a clicar em um link para se inscrever no programa de financiamento do YC.
Embora o convite parecesse legítimo, o domínio da página era uma variação com erro de digitação do endereço oficial — a letra “i” foi trocada por um “l” minúsculo.
A página falsa executava um JavaScript ofuscado que solicitava a verificação da wallet, alegando utilizar o padrão EIP-712 juntamente com o Ethereum Attestation Service.
O site exibia a mensagem enganosa:
“Durante o processo, você pode ver uma notificação padrão de retirada — isso confirma sua assinatura para registrar selos de verificação on-chain.
Garantimos que seus ativos permanecem completamente seguros.”
Na verdade, ao assinar essa verificação, o usuário autorizava transações maliciosas, que resultavam no esvaziamento das wallets.
Após denúncias da comunidade ao GitHub, IC3 e Google Safe Browsing, os repositórios fraudulentos foram removidos.
Ainda não há confirmação se alguma vítima perdeu criptomoedas.
Desenvolvedores que conectaram suas wallets ao site malicioso, mesmo sem prejuízo, devem transferir seus ativos para novas wallets imediatamente.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...