IA Agora Rouba Senhas e Criptomoedas: Nova Ameaça Via GitHub
Uma campanha maliciosa em larga escala está utilizando milhares de repositórios falsos no GitHub para distribuir trojans que roubam dados sensíveis, incluindo senhas e criptomoedas. A tática envolve a cópia de projetos legítimos e a inserção de links para arquivos ZIP maliciosos.
MundiX News·22 de junho de 2026·5 min de leitura·👁 2 views
A inteligência artificial (IA) não está apenas revolucionando a forma como escrevemos código, mas também se tornou uma ferramenta perigosa nas mãos de cibercriminosos. Uma nova e sofisticada campanha maliciosa foi descoberta, utilizando o GitHub como plataforma para distribuir trojans capazes de roubar senhas e criptomoedas. A tática consiste em criar milhares de repositórios falsos que se disfarçam de projetos legítimos de desenvolvedores, induzindo os usuários a baixar arquivos ZIP infectados.
O desenvolvedor conhecido pelo pseudônimo Orchid foi o responsável por identificar essa operação em larga escala. Ele encontrou aproximadamente 10.000 repositórios no GitHub que, à primeira vista, pareciam projetos independentes de diferentes autores. No entanto, todos operavam sob um esquema idêntico: os atacantes copiavam repositórios recentes, preservando o histórico de commits e a lista de colaboradores, e então modificavam o arquivo README para incluir um link para um arquivo ZIP contendo conteúdo malicioso. Orchid notou a anomalia quando um de seus próprios projetos foi copiado e, ao ser buscado no Bing, aparecia uma versão falsa com um link para um arquivo ZIP no README, enquanto a busca no Google exibia o original corretamente. Esses repositórios falsos não eram simples forks; apresentavam nomes, proprietários e colaboradores distintos, mas compartilhavam a modificação do README. Em alguns casos, os atacantes removiam commits antigos e adicionavam novos com a mesma descrição, como "Update README.md", em um esforço para disfarçar a atividade maliciosa.
A infraestrutura maliciosa girava em torno de arquivos ZIP. Geralmente, esses arquivos continham um batch file do Windows, um executável como loader.exe ou luajit.exe, um arquivo aleatório com extensão .txt ou .cso, e uma biblioteca lua51.dll. Embora a verificação individual em plataformas como o VirusTotal pudesse não detectar o código malicioso de imediato, o próprio arquivo ZIP baixado já era classificado como um trojan. Uma campanha semelhante foi descrita anteriormente pela empresa HexaStrike, que identificou 109 repositórios falsos associados à cadeia maliciosa SmartLoader e StealC. Após a execução do arquivo batch, um interpretador LuaJIT era ativado com um script ofuscado, que então obtinha o endereço da infraestrutura de comando e controle (C2) através de um smart contract na rede Polygon, antes de baixar a próxima fase do ataque. O objetivo final era a implantação do StealC, um trojan capaz de roubar uma vasta gama de dados sensíveis, incluindo carteiras de criptomoedas, senhas salvas em navegadores, credenciais bancárias, arquivos de navegador, contas de e-mail e dados de serviços populares como Steam, Discord e Telegram.
A eficácia desses repositórios falsos reside na sua capacidade de parecerem autênticos, pois mantêm o código-fonte original, o histórico de desenvolvimento e a lista de colaboradores. Segundo Orchid, os atacantes focavam em copiar repositórios recém-criados para que pudessem aparecer rapidamente nos resultados de busca para consultas menos comuns. Essa estratégia também pode atrair agentes de IA que buscam dependências ou exemplos de código, levando-os automaticamente a clicar em links maliciosos. Apesar de Orchid ter reportado duas cópias falsas de seus projetos ao GitHub, a remoção demorou quase dois meses. Após a publicação do script e da lista de repositórios maliciosos, o GitHub começou a remover os projetos, mas Orchid alega que apenas aqueles explicitamente listados foram removidos, e novas descobertas surgiram após a reexecução do script, sem remoção imediata. Muitos desses repositórios falsos permaneceram ativos por meses, alguns potencialmente por mais de um ano. Orchid estima que os 10.000 repositórios identificados sejam apenas uma fração da campanha total, dado que sua pesquisa foi limitada pela API do GitHub a 5.000 requisições por hora. A plataforma, sem tais limitações, teria a capacidade de verificar todos os repositórios, identificar e escanear arquivos suspeitos. A autoria da campanha permanece desconhecida, mas a HexaStrike sugere que pode ser obra de um único atacante ou um pequeno grupo com gestão centralizada, evidenciado pela estrutura uniforme dos READMEs, atualizações sincronizadas e táticas de download de malware consistentes.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A inteligência artificial (IA) não está apenas revolucionando a forma como escrevemos código, mas também se tornou uma ferramenta perigosa nas mãos de cibercriminosos. Uma nova e sofisticada campanha maliciosa foi descoberta, utilizando o GitHub como plataforma para distribuir trojans capazes de roubar senhas e criptomoedas. A tática consiste em criar milhares de repositórios falsos que se disfarçam de projetos legítimos de desenvolvedores, induzindo os usuários a baixar arquivos ZIP infectados.
O desenvolvedor conhecido pelo pseudônimo Orchid foi o responsável por identificar essa operação em larga escala. Ele encontrou aproximadamente 10.000 repositórios no GitHub que, à primeira vista, pareciam projetos independentes de diferentes autores. No entanto, todos operavam sob um esquema idêntico: os atacantes copiavam repositórios recentes, preservando o histórico de commits e a lista de colaboradores, e então modificavam o arquivo README para incluir um link para um arquivo ZIP contendo conteúdo malicioso. Orchid notou a anomalia quando um de seus próprios projetos foi copiado e, ao ser buscado no Bing, aparecia uma versão falsa com um link para um arquivo ZIP no README, enquanto a busca no Google exibia o original corretamente. Esses repositórios falsos não eram simples forks; apresentavam nomes, proprietários e colaboradores distintos, mas compartilhavam a modificação do README. Em alguns casos, os atacantes removiam commits antigos e adicionavam novos com a mesma descrição, como "Update README.md", em um esforço para disfarçar a atividade maliciosa.
A infraestrutura maliciosa girava em torno de arquivos ZIP. Geralmente, esses arquivos continham um batch file do Windows, um executável como loader.exe ou luajit.exe, um arquivo aleatório com extensão .txt ou .cso, e uma biblioteca lua51.dll. Embora a verificação individual em plataformas como o VirusTotal pudesse não detectar o código malicioso de imediato, o próprio arquivo ZIP baixado já era classificado como um trojan. Uma campanha semelhante foi descrita anteriormente pela empresa HexaStrike, que identificou 109 repositórios falsos associados à cadeia maliciosa SmartLoader e StealC. Após a execução do arquivo batch, um interpretador LuaJIT era ativado com um script ofuscado, que então obtinha o endereço da infraestrutura de comando e controle (C2) através de um smart contract na rede Polygon, antes de baixar a próxima fase do ataque. O objetivo final era a implantação do StealC, um trojan capaz de roubar uma vasta gama de dados sensíveis, incluindo carteiras de criptomoedas, senhas salvas em navegadores, credenciais bancárias, arquivos de navegador, contas de e-mail e dados de serviços populares como Steam, Discord e Telegram.
A eficácia desses repositórios falsos reside na sua capacidade de parecerem autênticos, pois mantêm o código-fonte original, o histórico de desenvolvimento e a lista de colaboradores. Segundo Orchid, os atacantes focavam em copiar repositórios recém-criados para que pudessem aparecer rapidamente nos resultados de busca para consultas menos comuns. Essa estratégia também pode atrair agentes de IA que buscam dependências ou exemplos de código, levando-os automaticamente a clicar em links maliciosos. Apesar de Orchid ter reportado duas cópias falsas de seus projetos ao GitHub, a remoção demorou quase dois meses. Após a publicação do script e da lista de repositórios maliciosos, o GitHub começou a remover os projetos, mas Orchid alega que apenas aqueles explicitamente listados foram removidos, e novas descobertas surgiram após a reexecução do script, sem remoção imediata. Muitos desses repositórios falsos permaneceram ativos por meses, alguns potencialmente por mais de um ano. Orchid estima que os 10.000 repositórios identificados sejam apenas uma fração da campanha total, dado que sua pesquisa foi limitada pela API do GitHub a 5.000 requisições por hora. A plataforma, sem tais limitações, teria a capacidade de verificar todos os repositórios, identificar e escanear arquivos suspeitos. A autoria da campanha permanece desconhecida, mas a HexaStrike sugere que pode ser obra de um único atacante ou um pequeno grupo com gestão centralizada, evidenciado pela estrutura uniforme dos READMEs, atualizações sincronizadas e táticas de download de malware consistentes.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
