Como Salvei os Computadores de Milhões de Usuários do Winget: A História de um Fork 'Proibido'
Um desenvolvedor descobriu e reportou um fork malicioso da ferramenta Zapret no repositório oficial do Microsoft Winget, que roubava dados confidenciais dos usuários. A rápida ação do desenvolvedor e dos moderadores do Winget impediu a comprometimento de milhares, possivelmente milhões, de sistemas.
MundiX News·13 de maio de 2026·2 min de leitura·👁 2 views
PXStudioOpenSource
1 minuto atrás
Como Salvei os Computadores de Milhões de Usuários do Winget: A História de um Fork 'Proibido'
Simples
2 min
0
Programação
Segurança da Informação
Tecnologias de Rede
GitHub
Opinião
Da caixa de areia
Recentemente, um fork malicioso da popular ferramenta Zapret foi descoberto no repositório oficial do Microsoft Winget. Estamos falando do projeto chamado Zapret 2 GUI (ID: loop-uh.Zapret2) (P.S. Você não o encontrará mais lá agora).
Para aqueles que perderam a premissa deste "software milagroso", recomendo fortemente que se familiarizem com a análise de suas "artes" neste artigo. Em resumo: sob a aparência de uma ferramenta útil, os usuários foram alimentados com um stealer, que instalava um certificado raiz (Root CA), interceptava o tráfego e vazava dados confidenciais para um chat privado do Telegram a cada 30 segundos. Você também pode ver meu Issue no GitHub sobre este programa.
Como isso chegou ao Winget?
Infelizmente, as verificações automáticas nem sempre conseguem detectar malware complexo, especialmente se ele estiver empacotado ou usar técnicas de evasão (Evasion). Tendo notado atividade suspeita do pacote loop-uh.Zapret2, levantei imediatamente um Issue no repositório oficial microsoft/winget-pkgs. O link está logo acima.
O relatório forneceu evidências irrefutáveis: desde logs de instalação de certificados falsos até uma análise específica do que esse software faz e para onde ele envia as informações.
Resultado:
A reação dos moderadores (em particular, Stephen Gillie) não demorou a acontecer. Após um estudo detalhado das provas fornecidas, o pacote malicioso foi completamente removido do repositório, e toda a família de tais "forks" foi colocada na lista negra. De acordo com estimativas preliminares, isso salvou centenas de milhares, e possivelmente milhões, de sistemas de serem comprometidos. Curiosamente, o autor (ou não ele) tentou adicionar um certo pedido ZapretKVN um dia depois, cuja adição foi rejeitada, você sabe por qual motivo. (P.S. O autor tentou devolver seu programa loop-uh.Zapret2 para o Winget. Acho que não preciso explicar o que aconteceu)
Meu conselho para você:
Nunca confie em software 100%, mesmo que ele esteja em uma fonte "confiável".
Sempre verifique os instaladores no VirusTotal.
Use sandboxes interativas (Hybrid Analysis, Triage, Any.Run) para analisar o comportamento do arquivo em tempo real.
Consulte os relatórios MITRE ATT&CK.
Se uma ferramenta simples de repente precisar de Impair Defenses ou Input Capture - isso é um grande sinal de alerta.
Esteja vigilante. Segurança não é apenas antivírus, mas também sua atenção.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
PXStudioOpenSource
1 minuto atrás
Como Salvei os Computadores de Milhões de Usuários do Winget: A História de um Fork 'Proibido'
Simples
2 min
0
Programação
Segurança da Informação
Tecnologias de Rede
GitHub
Opinião
Da caixa de areia
Recentemente, um fork malicioso da popular ferramenta Zapret foi descoberto no repositório oficial do Microsoft Winget. Estamos falando do projeto chamado Zapret 2 GUI (ID: loop-uh.Zapret2) (P.S. Você não o encontrará mais lá agora).
Para aqueles que perderam a premissa deste "software milagroso", recomendo fortemente que se familiarizem com a análise de suas "artes" neste artigo. Em resumo: sob a aparência de uma ferramenta útil, os usuários foram alimentados com um stealer, que instalava um certificado raiz (Root CA), interceptava o tráfego e vazava dados confidenciais para um chat privado do Telegram a cada 30 segundos. Você também pode ver meu Issue no GitHub sobre este programa.
Como isso chegou ao Winget?
Infelizmente, as verificações automáticas nem sempre conseguem detectar malware complexo, especialmente se ele estiver empacotado ou usar técnicas de evasão (Evasion). Tendo notado atividade suspeita do pacote loop-uh.Zapret2, levantei imediatamente um Issue no repositório oficial microsoft/winget-pkgs. O link está logo acima.
O relatório forneceu evidências irrefutáveis: desde logs de instalação de certificados falsos até uma análise específica do que esse software faz e para onde ele envia as informações.
Resultado:
A reação dos moderadores (em particular, Stephen Gillie) não demorou a acontecer. Após um estudo detalhado das provas fornecidas, o pacote malicioso foi completamente removido do repositório, e toda a família de tais "forks" foi colocada na lista negra. De acordo com estimativas preliminares, isso salvou centenas de milhares, e possivelmente milhões, de sistemas de serem comprometidos. Curiosamente, o autor (ou não ele) tentou adicionar um certo pedido ZapretKVN um dia depois, cuja adição foi rejeitada, você sabe por qual motivo. (P.S. O autor tentou devolver seu programa loop-uh.Zapret2 para o Winget. Acho que não preciso explicar o que aconteceu)
Meu conselho para você:
Nunca confie em software 100%, mesmo que ele esteja em uma fonte "confiável".
Sempre verifique os instaladores no VirusTotal.
Use sandboxes interativas (Hybrid Analysis, Triage, Any.Run) para analisar o comportamento do arquivo em tempo real.
Consulte os relatórios MITRE ATT&CK.
Se uma ferramenta simples de repente precisar de Impair Defenses ou Input Capture - isso é um grande sinal de alerta.
Esteja vigilante. Segurança não é apenas antivírus, mas também sua atenção.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
