Logo TecMundo
Segurança

Hacker cria quase 300 repositórios falsos no GitHub para espalhar malware

Os repositórios se passavam de softwares legítimos para garantir aparência de autenticidade e incentivar o download.

Avatar do(a) autor(a): Igor Almenara Carneiro

schedule15/07/2026, às 19:00

Um agente malicioso publicou quase 300 repositórios no GitHub que fingem ser softwares legítimos. A tática foi flagrada pela empresa de cibersegurança Arctic Wolf, que encontrou um clone fraudulento de um de seus próprios softwares em 26 de junho.

Especificamente, foram encontrados 292 repositórios falsos no GitHub, cada um deles com um arquivo README com um link malicioso que redireciona usuários para uma página de download fraudulenta. As páginas forjadas são construídas para parecerem autênticas, persuadindo o usuário a baixar o conteúdo pelo botão "Download Secure Content".

smart_display

Nossos vídeos em destaque

undefined
O Arctic Wolf percebeu que um dos seus softwares era usado de fachada para distribuir o malware. (Fonte: Arctic Wolf/Reprodução).

Todas essas páginas contam com uma estrutura HTML/JS muito similar, reforçando que a tática parte de um agente único. Segundo os pesquisadores, o arquivo baixado é sempre um ZIP volumoso cujo nome e carga mudam constantemente, mas que contém uma biblioteca libcurl.dll adulterada e transformada em trojan, além de um atualizador de código aberto WinGUP que muda de nome de acordo com o app clonado.

O que faz o malware?

Assim que o usuário executa o arquivo gup.exe, a libcurl.dll é baixada em segundo plano. A biblioteca decodifica e executa o infostealer BoryptGrab diretamente na memória RAM. O malware busca informações como:

  • Senhas, cookies de sessão e dados de pagamento coletados de 19 navegadores diferentes;
  • Dados de 32 carteiras de criptomoedas;
  • Tokens de sessão de apps instalados, como Telegram, Discord e Steam;
  • Conteúdo do Windows Credential Manager;
  • Arquivos pessoais cujo nome parece estar relacionado a senhas, frases de recuperação, carteiras e backups;
  • Capturas de tela, detalhes do sistema e listas de programas instalados.

Segundo os pesquisadores, essa variante do BoryptGrab consegue contornar o App-Bound Encryption, mecanismo de segurança nativo que bloqueia acessos externos não autorizados a dados sensíveis. Até então, essa capacidade não estava documentada publicamente.

Depois disso, os dados são compactados e encaminhados para um servidor command-and-control (C2) localizado na Rússia.

Segundo o Arctic Wolf, o malware não estabelece mecanismos de persistência no dispositivo alvo. Além disso, o diretório em que os dados roubados são reunidos continua disponível no PC, deixando um rastro de tudo que foi roubado.

GitHub removeu parte dos repositórios falsos

O GitHub removeu boa parte dos repositórios falsos até o momento da publicação da Arctic Wolf. Contudo, alguns endereços GitHub Pages relacionados aos repositórios falsos continuavam online.

Apesar de identificar a localização do servidor C2, a Arctic Wolf não identificou o agente malicioso, mas apontou que parece ser falante de russo e deve ter motivação financeira.

Quer ficar por dentro das novidades do mundo da tecnologia? Acesse o TecMundo e acompanhe as últimas notícias sobre cibersegurança, malware e GitHub.

star

Continue por aqui