A Kaspersky, desenvolvedora de um anti-vírus homônimo, publicou um alerta nesta terça-feira (25) sobre uma onda de ataques focado em programadores. Segundo o estudo, profissionais da Rússia, Turquia e Brasil são os mais afetados.

O objetivo dos hackers é obviamente roubar criptomoedas, bem como nomes de usuário e senhas, histórico de navegação em navegadores e mais. Indo além, as vítimas também podem acabar com um keylogger e um backdoor que permite controle remoto do computador.

Somado a ataques de engenharia social, esses repositórios maliciosos no Github podem oferecer um alto nível de perigo.

Onda de ataques foi apelidada de “GitVenom”

O relatório da Kaspersky aponta que os hackers já criaram mais de 200 repositórios no Github contendo projetos falsos com códigos maliciosos. O alvo são desenvolvedores que buscam ferramentas para trabalhar.

🔔 Entre em nosso grupo no WhatsApp e fique atualizado.

Como destaque, a empresa cita falsos bots de Telegram, hacks do jogo Valorant, programas de automatização de redes sociais como Instagram, gerenciadores de carteiras de Bitcoin e mais.

Conforme um desenvolvedor atento poderia perceber que se trata de um repositório falso, os hackers elaboraram táticas para torná-los mais convincentes. Um exemplo é o grande número de commits, gerados automaticamente por arquivos de marcação de tempo que se autoatualizam sozinhos.

Outro ponto são os detalhes do README.MD. Além de bem escritos e detalhados, provavelmente com auxílio de inteligências artificiais, eles também estão disponíveis em diversos idiomas, incluindo o português, motivo pelo qual programadores brasileiros estão entre os principais alvos do ataque.

“A combinação de documentação detalhada e inúmeros commits cria a ilusão de que o código é genuíno e seguro para uso.”

Repositório malicioso no Github foca em programadores de diversos países, incluindo do Brasil. Fonte: Kaspersky/Reprodução.Repositório malicioso no Github foca em programadores de diversos países, incluindo do Brasil. Fonte: Kaspersky/Reprodução.
Repositório malicioso no Github foca em programadores de diversos países, incluindo do Brasil. Fonte: Kaspersky/Reprodução.

Segundo a Kaspersky, a campanha já tem cerca de dois anos e os hackers exploram diversas linguagens de programação, incluindo Python, JavaScrypt, C, C# e C++.

“Nesse período, o GitVenom afetou desenvolvedores na Rússia, no Brasil, na Turquia e em outros países”, comentou a empresa.

Ataque foca em carteiras de criptomoedas e outros dados sensíveis

Sem surpresa, o objetivo final dos hackers é roubar criptomoedas e outros dados sensíveis. Para isso, a Kaspersky destaca quatro métodos usados pelos criminosos.

O primeiro é um ‘stealer’ baseado em Node.js. Após roubar senhas, dados de carteiras de criptomoedas e outros, tais informações são enpacotadas em um arquivo .7z (7-Zip) que é enviado aos hackers via Telegram.


Outros dois mencionados são o AsyncRAT, um trojan que pode funcionar como um keylogger, bem como o Quasar, um backdoor que concede acesso remoto aos computadores das vítimas.

Por fim, e não menos importante, é mencionado que os hackers estão usando um ‘clipper’ que monitora o “CTRL+C” do usuário em busca de endereços de criptomoedas e então, na hora de colar, ele é alterado por um endereço diferente que pertence aos atacantes.

Em 2024, até mesmo a Binance emitiu um alerta contra esse tipo de ataque, apontando para um aumento no número de casos.

Já a Kaspersky aponta que uma carteira usada nesse ataque recebeu 5 BTC (R$ 2,5 milhões, na cotação atual) em novembro de 2024.

A recomendação da empresa de segurança é que programadores analisem os códigos do Github antes de integrarem aos seus projetos, usem proteção contra malware tanto no PC quanto no smartphone, e não entrem em links obtidos em sites e conversas suspeitas.

Além disso, usuários também são encorajados a denunciar repositórios ao próprio Github.