Investigação de golpe no GitHub: milhares de 'mods' e 'cracks' roubando seus dados

 (timsh.org)
1 pontos por GN⁺ 2025-03-01 | 1 comentários | Compartilhar no WhatsApp
  • Há inúmeros repositórios no GitHub disfarçados como "mods" ou "cracks", mas que na verdade são golpes (scams) que roubam informações sensíveis do computador quando o usuário faz o download
  • Eles usam nomes de programas e jogos populares como Roblox, Fortnite, FL Studio e Adobe Photoshop, promovendo-os como "download grátis" ou "versão crackeada"
  • Ao executar esse arquivo malicioso, entra em ação um malware de coleta de informações, como o Redox Stealer
  • As informações roubadas são enviadas para servidores do Discord ou sites de compartilhamento como o Anonfiles, em uma estrutura voltada a roubar carteiras de criptomoedas, contas de redes sociais e mais
  • Esses repositórios podem ser encontrados facilmente até pela busca do GitHub, e a escala real é estimada em pelo menos mais de mil
  • Em alguns casos, há issues públicos no GitHub alertando que se trata de "vírus" ou "malware", mas isso acontece em apenas cerca de 10% dos casos, deixando muitos usuários expostos ao risco

TL;DR

  • Como foi descoberto
    • Em um fórum ligado a engenharia social, foi encontrado um guia detalhado ensinando a espalhar em massa repositórios maliciosos no GitHub
    • Com base nesse guia, também foram rastreados repositórios criados diretamente pelos próprios atacantes
  • Escala
    • Foram encontrados mais de 1.115 repositórios, e pelo menos 351 deles tinham estrutura suspeita e alta probabilidade de serem maliciosos
    • Menos de 10% dos repositórios receberam alertas via issue, e a maioria aparentava estar normal
  • Características do malware
    • Parece ser da família Redox Stealer e rouba diversos dados sensíveis do computador da vítima, como cookies, senhas, carteiras de criptomoedas e contas de jogos, usando webhooks do Discord
    • Depois os dados são enviados em arquivos compactados por sites de compartilhamento (ex.: Anonfiles), e links de acompanhamento são repassados por webhook para análise e comercialização

Some background

  • Promoção por bot no Telegram
    • O autor encontrou propaganda relacionada ao fórum em mensagens de um bot de análise do TikTok que ele já havia usado antes
    • Nesse fórum, sem convite separado nem acesso via Tor, era possível criar conta apenas com email e senha e visualizar transações/guias ilegais
  • Características do fórum
    • A estrutura permite compartilhar livremente desde compra e venda de contas (ex.: TikTok, Instagram, Facebook Ads) até materiais sobre programas de "affiliate" usados em golpes
    • Havia muitos golpes já conhecidos, como ransomware as a service (RaaS) e CryptoGrab, mas o guia de distribuição de malware via GitHub era novo e impactante
  • Redox Stealer
    • É um malware distribuído em canais como o Telegram e consiste em um script em Python relativamente simples
    • A estrutura dele é coletar em massa toda informação sensível possível do PC e enviá-la a um servidor do Discord

Como despejar [tráfego] no GitHub de A a Z

  • Obtenção em massa de contas do GitHub
    • As contas são compradas por cerca de US$ 1,5 ou criadas em grande número pelos próprios atacantes para uso nos ataques
  • Forma de upload dos arquivos maliciosos
    • Os arquivos são enviados ao GitHub em formatos como .zip e .rar, ou então um link externo de compartilhamento é colocado no README para evitar detecção por antivírus
  • Template de README
    • Ele é montado para passar credibilidade, com screenshots reais, vídeos e até resultados de verificação no VirusTotal (forjados)
    • O texto do README é ligeiramente alterado com ferramentas como o ChatGPT para evitar detecção por duplicidade
  • Uso de tags Topics
    • Eles usam o recurso topic do GitHub para cadastrar repetidamente palavras-chave como nome de jogo, crack, hack e cheat
    • Isso facilita aparecer para quem procura por coisas como "crack grátis" em mecanismos de busca
    • O guia também ensina a verificar e evitar topics banidos

Análise do Redox Stealer

  • Execução do arquivo
    • Quando o usuário baixa o repositório e executa o script malicioso, começa a coleta de informações internas do PC
    • Entre os alvos estão ip, geolocation, nome de usuário, cookies do navegador, senhas, contas de Discord, Telegram, Steam, Riot Games e arquivos de carteiras de criptomoedas
  • Método de coleta
    • O malware copia temporariamente arquivos de banco de dados sqlite para extrair cookies do navegador, senhas e tokens do Discord
    • Arquivos de extensões de criptomoedas como MetaMask e Exodus, além de dados de contas de jogos como Steam e Riot Games, são compactados separadamente e enviados
  • Transmissão dos dados
    • Os arquivos roubados são enviados para serviços de compartilhamento como o Anonfiles, e os links ou informações são repassados ao atacante por meio de webhooks do Discord
    • O objetivo final é roubar contas com valor de revenda (ex.: cripto, itens de jogos) ou informações financeiras (cartão de crédito, PayPal etc.)

Busca e descoberta no GitHub

  • Estimativa de escala
    • O material orienta que mesmo uma única pessoa, ao subir de 300 a 500 repositórios, pode gerar mais de 50 a 100 logs de vítimas por dia
    • Na prática, é provável que várias pessoas estejam usando esse mesmo esquema ao mesmo tempo, o que indica a existência de muito mais repositórios maliciosos
  • Script PoC (Proof of Concept)
    • O autor combinou palavras-chave sugeridas no guia (ex.: "fortnite hack", "roblox cheat") e usou a API de busca do GitHub para rastrear automaticamente os repositórios
    • Ao verificar cerca de 2.100 palavras-chave de topics, foram identificados 1.155 repositórios
    • Desses, 351 foram considerados com alta probabilidade de serem maliciosos com base no README e na estrutura de arquivos .rar/.zip
  • Problemas
    • Menos de 10% dos repositórios tinham uma issue dizendo "isto é malicioso", o que mostra falha no alerta aos usuários
    • Muitos usuários correm grande risco de executar esses arquivos achando que são programas legítimos

Conclusion

  • Informações ilegais online
    • Existem fóruns facilmente acessíveis na web comum, sem Tor ou convite separado
    • Ransomware, crypto drainer e vários outros golpes estão sendo compartilhados ativamente
  • Simplicidade do Redox Stealer
    • Com apenas algumas centenas ou milhares de linhas de código Python, ele coleta automaticamente uma ampla gama de dados e os envia ao atacante
    • O nível técnico exigido não é alto, o que facilita a distribuição em massa
  • Necessidade de ação por parte do GitHub
    • Até repositórios já expostos publicamente como maliciosos via issues muitas vezes permanecem sem qualquer medida
    • Uma atuação mais ativa de monitoramento e bloqueio por parte do GitHub poderia reduzir os danos
  • Encerramento
    • Ao tentar baixar cracks de jogos ou programas, é preciso verificar com cuidado se é open source e se houve checagem por antivírus
    • O autor também antecipa uma análise futura sobre golpes e anúncios fraudulentos relacionados

Resumo

  • Distribuição de malware usando o GitHub : a maioria usa nomes como "grátis", "crack" e "mod", mas na prática inclui o Redox Stealer
    • O Redox Stealer é simples e fácil, o que permite que qualquer um o distribua em massa com facilidade
  • Principais alvos : carteiras de criptomoedas, contas de Steam/Riot Games, PayPal, Facebook, Twitter e vários outros tipos de contas
  • Medidas de prevenção
    • Baixar apenas de fontes confiáveis
    • Verificar com atenção links suspeitos e o README
    • Conferir GitHub Issues, estrelas e se há avaliações de outros usuários
    • Manter antivírus e os patches de segurança mais recentes em dia
  • Expansão do scam baseado em fórum
    • Com a baixa barreira de entrada, qualquer pessoa pode obter o guia e distribuir scripts maliciosos
    • Um único atacante pode comprar várias contas e espalhar centenas de repositórios
  • Responsabilidade do GitHub e da comunidade de segurança
    • É necessário reforçar os sistemas de identificação e bloqueio de repositórios maliciosos
    • A conscientização dos usuários comuns é indispensável
  • Repositórios do GitHub que dizem oferecer "crack" ou "mod" de graça devem sempre ser vistos com desconfiança
  • A planilha (veja o link) contém uma lista com mais de 1.000 repositórios suspeitos coletados pelo autor
  • Todos os malwares convergem para um único objetivo (ganho financeiro) e se caracterizam por distribuição rápida e em escala

Leituras relacionadas

1 comentários

 
GN⁺ 2025-03-01
Comentários do Hacker News

  • A Microsoft tem um problema geral em remover coisas indesejadas do seu ecossistema

    • O portal feedback.azure.com está cheio de comentários e links de spam e malware
    • Nem mesmo as equipes internas conseguem encontrar alguém para resolver isso

  • Notificações sobre sistemas recém-comprometidos via webhooks do Discord

    • O Discord reage rapidamente a denúncias de abuso
    • Seria possível escrever um script simples para extrair links de webhook e derrubar as contas
    • Pela experiência passada, o Discord foi ativo em banir contas de pessoas envolvidas em fins ilegais

  • A Microsoft tem certa responsabilidade

    • O Windows Defender dispara alertas de "Win32/Keygen" mesmo quando não há malware de fato
    • Isso treina os usuários a desativarem o antivírus
    • Falsos positivos acabam fazendo as pessoas ignorarem positivos reais, moldando o mercado

  • Pergunta sobre por que repositórios com malware deveriam ser removidos

    • O repositório em si não causa dano e tem valor para pesquisa
    • Mesmo que o GitHub remova, isso será distribuído de outras formas
    • Um banner como "Atenção! Este repositório pode não fazer o que afirma" talvez fosse mais apropriado

  • Fato curioso: se você encontrar um webhook do Discord, pode apagá-lo

    • Use o comando curl -X DELETE

  • O suporte da Microsoft é tragicamente ruim

    • O GitHub está cheio de issues abertas sem resposta há anos
    • O suporte técnico do Azure também é muito ruim
    • Há muitas histórias de horror online sobre perder acesso à conta e não conseguir recuperá-la

  • O cerne do problema é que os aplicativos não são isolados no nível do sistema operacional

    • Instalar um mod de Minecraft não deveria permitir acesso a outros arquivos do computador
    • Ao abrir uma planilha no Excel, ele deveria ter acesso apenas àquele arquivo e aos arquivos de configuração
    • Como no Android, os apps deveriam pedir acesso a arquivos explicitamente

  • Grande questionamento sobre a eficácia do sistema de denúncias de abuso do GitHub

    • Se mais de 1.000 repositórios maliciosos conseguem permanecer por meses, pode ser falta de varredura automática ou dependência excessiva de denúncias de usuários

  • Pedido de ajuda para instalar mods de Plants vs. Zombies

    • Encontraram vários mods para baixar em repositórios do GitHub, mas não baixaram por não parecerem confiáveis
    • Pensando agora, parece que era o tipo de malware descrito pelo autor

  • Se você encontrar malware em um repositório do GitHub, pode denunciar diretamente pela página de Abuse Report

    • O GitHub remove repositórios que violam a Acceptable Use Policy
    • O tempo de resposta pode variar
    • Se o malware estiver sendo usado ativamente, também vale considerar reportar a uma organização de segurança ou equipe CERT