CibersegurançaNotícias

Malware no GitHub: Como hackers usam repositórios para atacar

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Logotipo do GitHub em destaque, cercado por um fundo escuro com linhas coloridas em movimento, representando a inovação tecnológica e a dinâmica do desenvolvimento de software.

Uma análise aprofundada de como cibercriminosos estão abusando da confiança no GitHub para distribuir malwares como Amadey e RedLine Stealer.

O GitHub, uma das plataformas mais confiáveis e utilizadas por desenvolvedores ao redor do mundo, está sendo explorado por cibercriminosos como uma espécie de CDN (Content Delivery Network) para distribuição de malware. Essa ironia — um ambiente feito para colaboração e inovação tecnológica sendo transformado em vetor de ataques — foi recentemente destacada em um alerta da Cisco Talos, que identificou campanhas ativas de disseminação do malware Amadey por meio de repositórios públicos da plataforma.

Conteúdo

O objetivo deste artigo é analisar essa estratégia maliciosa, explicando como o ataque ocorre, por que os criminosos optam por esse método, quais ameaças estão sendo distribuídas e, o mais importante, como desenvolvedores, profissionais de segurança e usuários avançados podem se proteger diante dessa ameaça cada vez mais comum. O foco será especialmente no chamado “Malware GitHub”, uma tática que simboliza o novo estágio da guerra cibernética, onde serviços legítimos são convertidos em armas.

Esse tipo de abuso não é um evento isolado. Ele representa uma tendência crescente, onde criminosos digitais utilizam plataformas legítimas — como GitHub, Dropbox, Google Drive e Discord — para evadir sistemas de segurança e entregar malwares sofisticados aos seus alvos. A confiança nessas plataformas está sendo usada contra os próprios usuários.

Imagem com a logo do GitHub

O alerta da Cisco Talos: GitHub como vetor de ataque

Em abril de 2025, a equipe da Cisco Talos identificou uma nova campanha maliciosa que utilizava o GitHub como plataforma de hospedagem de payloads. Os invasores criavam repositórios públicos contendo arquivos maliciosos, que eram então baixados automaticamente por malwares loaders, instalados previamente nas máquinas das vítimas.

O que é o Amadey e como funciona a cadeia de infecção?

O Amadey é um malware-as-a-service (MaaS) conhecido por sua simplicidade e versatilidade. Ele atua principalmente como um downloader, ou seja, sua principal função é baixar e executar cargas adicionais em sistemas já comprometidos.

A cadeia de infecção, conforme observada pela Cisco Talos, começa com um loader inicial — identificado como Emmenhtal — que é responsável por comprometer o dispositivo da vítima. Uma vez ativo, o Emmenhtal faz o download do Amadey a partir de um repositório GitHub público. O Amadey, por sua vez, baixa outros malwares secundários, como os famosos stealers de dados:

  • Lumma Stealer
  • RedLine Stealer
  • Rhadamanthys Stealer

Esses stealers são projetados para roubar credenciais, carteiras de criptomoedas, informações de navegação e outros dados sensíveis, os quais são posteriormente enviados para servidores controlados pelos atacantes.

Por que usar o GitHub? A tática por trás da escolha

O uso do GitHub não é aleatório. Ele oferece vantagens estratégicas para os criminosos:

  • Alta reputação de domínio: O endereço github.com raramente é bloqueado por ferramentas de filtragem de conteúdo ou antivírus, já que é amplamente utilizado por empresas e profissionais legítimos.
  • Tráfego “limpo”: Como o tráfego parece normal e legítimo, é mais difícil para os sistemas de segurança identificarem a ameaça em tempo real.
  • Facilidade de uso: Criar uma conta no GitHub e hospedar arquivos em um repositório público é um processo simples e gratuito.
  • Infraestrutura confiável: Os atacantes se beneficiam da disponibilidade, velocidade e estabilidade da infraestrutura da plataforma.

Essas características tornam o GitHub ideal para campanhas MaaS, especialmente quando combinadas com loaders capazes de buscar atualizações de carga diretamente da web.

Uma tendência em ascensão: o abuso de serviços legítimos não para por aí

O caso do Malware GitHub é apenas a ponta do iceberg. A tática de abusar de plataformas legítimas para disseminar malware vem crescendo nos últimos anos, dificultando a detecção e contenção dos ataques.

Entre os outros exemplos citados no relatório da Cisco Talos estão:

  • SquidLoader, um malware que utiliza técnicas anti-análise para evadir ambientes de sandbox e dificultar o trabalho dos analistas de segurança.
  • Abuso do ConnectWise ScreenConnect, um software de acesso remoto legítimo, para controle total da máquina infectada em campanhas de phishing direcionado.
  • Phishing com QR Codes, uma técnica que dificulta a análise automatizada por sistemas de segurança tradicionais.
  • Uso de imagens SVG com códigos maliciosos embutidos, que passam despercebidas por muitos mecanismos de defesa.
  • Arquivos compactados protegidos por senha, enviados por e-mail, para impedir que o antivírus analise o conteúdo.

Essa versatilidade e criatividade dos criminosos cibernéticos deixa claro que não existe mais fronteira clara entre “sites bons” e “sites maus”. Até as ferramentas mais respeitadas podem ser transformadas em armas.

Como se proteger dessa e de outras ameaças semelhantes

A boa notícia é que, embora as táticas evoluam, boas práticas de segurança ainda são eficazes. Abaixo, dividimos as recomendações por perfil de usuário:

Para desenvolvedores e administradores de sistemas

  • Monitore repositórios populares e esteja atento a clones ou forks suspeitos, que podem conter scripts alterados com cargas maliciosas.
  • Desconfie de scripts de instalação que baixam recursos externos, mesmo que venham de fontes confiáveis como o GitHub.
  • Adote políticas de segurança rigorosas em pipelines de CI/CD, verificando a origem de cada componente automatizado.
  • Revise logs de tráfego de rede, observando conexões frequentes ou incomuns com domínios como github.com/raw/..., especialmente por processos não autorizados.
  • Sempre que possível, valide assinaturas digitais de softwares instalados e implemente controle de integridade de arquivos.

Para usuários em geral

  • Cuidado com e-mails de phishing: cobranças falsas e notificações urgentes continuam sendo a principal isca.
  • Nunca execute arquivos baixados de fontes desconhecidas, mesmo que tenham extensões comuns como .pdf, .docx ou .zip.
  • Mantenha o sistema operacional atualizado, assim como antivírus e antimalware, garantindo que falhas conhecidas sejam corrigidas.
  • Utilize navegadores com recursos de sandbox e evite baixar extensões ou arquivos a partir de links encurtados ou suspeitos.
  • Habilite a autenticação em duas etapas (2FA) em todas as contas sensíveis, especialmente no GitHub.

Conclusão: a vigilância é a nova linha de frente

O caso do Malware GitHub mostra que a confiança cega em plataformas respeitadas pode ser perigosa. Cibercriminosos estão inovando ao utilizar a reputação de serviços legítimos para mascarar suas operações, o que exige dos profissionais de segurança uma postura proativa e de desconfiança calculada.

Em vez de depender exclusivamente de bloqueios baseados em reputação, é necessário adotar uma filosofia de segurança Zero Trust, onde nenhuma origem é confiável por padrão. Isso vale tanto para domínios, quanto para usuários, scripts e aplicativos.

Compartilhe este artigo com colegas de equipe, grupos de tecnologia e profissionais de TI. Quanto mais pessoas estiverem cientes dessa nova tática, mais difícil será para os atacantes se manterem invisíveis.

TAGGED:
Compartilhe este artigo
Artigo anterior Apple Clean Up Clean Up da Apple: A IA que apaga objetos em fotos
Inteligência ArtificialNotícias

Gemini para Android ganha vídeo mais nítido e interface repaginada

Gemini Live

Experiência mais nítida, fluidez aprimorada: o Gemini evolui no Android com foco em usabilidade e visão computacional.

Por Jardeson Márcio

Leia também

Posts sobre o mesmo assunto