Malwares

Hacker usa repositórios do GitHub para atacar outros hackers e jogadores

Imagem do autor do SempreUpdate Jardeson Márcio
Por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson é Jornalista, Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design...
Follow:
Malwares
imagem de hacker

Backdoors no GitHub: hacker ataca jogadores e outros hackers

Um sofisticado ataque cibernético foi descoberto envolvendo repositórios de código aberto no GitHub que, na realidade, escondem backdoors maliciosos voltados a hackers, jogadores e pesquisadores de segurança. A campanha, revelada por especialistas da Sophos, expõe como a confiança em plataformas colaborativas pode ser explorada por agentes mal-intencionados.

Conteúdo

Hacker usa repositórios do GitHub para atacar outros hackers e jogadores

Imagem com a logo do GitHub

Campanha orquestrada usa Sakura RAT como isca

A investigação teve início quando um cliente da Sophos solicitou uma análise do Sakura RAT, um suposto trojan de acesso remoto gratuito hospedado no GitHub. Ao inspecionar o código, os especialistas perceberam que o projeto não possuía funcionalidade real — mas continha um evento PreBuildEvent no Visual Studio que baixava e instalava malware silenciosamente no sistema do usuário durante o processo de compilação.

Esse vetor de infecção passava despercebido até mesmo para usuários mais experientes, dado que o build parecia legítimo. O autor do projeto, sob o pseudônimo “ischhfd83”, foi vinculado a mais de 140 repositórios, dos quais 133 apresentavam mecanismos de backdoor similares. Isso caracteriza uma ação coordenada e em larga escala.

Diversas técnicas de infecção e camuflagem

Os repositórios maliciosos usam uma ampla gama de técnicas para enganar vítimas e manter a persistência:

  • Scripts Python com payloads ofuscados
  • Arquivos .scr com truques de codificação Unicode
  • Códigos JavaScript embutidos com cargas maliciosas
  • Eventos PreBuild no Visual Studio

Esses métodos são aplicados para mascarar a real intenção do código e dificultar a detecção por ferramentas de segurança automatizadas.

A aparente legitimidade dos repositórios é reforçada por uma atividade constante de commits automatizados — alguns com mais de 60 mil atualizações em poucos meses — o que cria uma falsa imagem de projetos ativos e confiáveis.

Distribuição por múltiplas plataformas

A campanha também se destaca por seu forte apelo à engenharia social. Os repositórios são divulgados em vídeos no YouTube, canais do Discord e fóruns de cibercrime. A combinação de publicidade em plataformas populares com a promessa de ferramentas úteis — como cheats para jogos, mods e scripts de exploit — amplia o alcance do ataque, mirando não apenas hackers, mas também estudantes, jogadores e curiosos em geral.

Quando executados, os códigos iniciam uma infecção em múltiplas etapas. Scripts VBS e PowerShell são utilizados para buscar cargas maliciosas hospedadas em outros repositórios e servidores. Um dos arquivos executáveis, o SearchFilter.exe baseado em Electron, descompacta um pacote contendo um main.js ofuscado com instruções para:

  • Executar comandos remotos
  • Desativar o Windows Defender
  • Coletar informações do sistema
  • Baixar novos malwares

Entre os payloads instalados estão ameaças conhecidas como Lumma Stealer, AsyncRAT e Remcos, voltadas ao roubo de credenciais, dados pessoais e controle remoto da máquina.

Riscos e lições para a comunidade de código aberto

Esse incidente destaca a fragilidade da confiança em repositórios públicos, mesmo os hospedados em plataformas respeitadas como o GitHub. Qualquer pessoa pode publicar projetos com código malicioso, e muitos usuários — inclusive profissionais — acabam baixando e executando arquivos sem a devida auditoria.

A recomendação dos especialistas da Sophos é clara: sempre verificar o conteúdo de scripts, eventos de compilação e atividades recentes dos repositórios, especialmente ao lidar com ferramentas pouco conhecidas ou promessas muito atraentes.

Conclusão

A campanha de backdoors no GitHub revela uma nova fase nos ataques direcionados: hackers atacando hackers com ferramentas projetadas para explorar a curiosidade e a imprudência no uso de código aberto. A sofisticação técnica e o uso de canais populares como o YouTube ampliam a ameaça e exigem vigilância redobrada da comunidade. Em um cenário onde open source é sinônimo de colaboração, a segurança passa a depender tanto da transparência quanto da desconfiança saudável.

TAGGED:
Compartilhe este artigo
Artigo anterior malware IA Ataque de ransomware expõe dados de 39 mil na Lee Enterprises
Próximo artigo Imagem de hacker Ataques sofisticados comprometem PyPI, npm e Ruby com pacotes maliciosos
Inteligência Artificial

Dê Vida à Sua Imaginação com o Melhor Gerador de Personagens IA Online

vRepnhU3 de vida a sua imaginacao com o melhor gerador de personagens ia online

Você já sonhou em criar o personagem perfeito para o seu jogo, HQ, livro ou apenas para se divertir? Agora isso é possível com apenas alguns cliques, graças ao Gerador…

Por Redação SempreUpdate

Leia também

Posts sobre o mesmo assunto