{"id":23487,"date":"2025-03-25T09:19:18","date_gmt":"2025-03-25T12:19:18","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23487"},"modified":"2025-03-25T09:19:18","modified_gmt":"2025-03-25T12:19:18","slug":"malicious-code-in-github","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/malicious-code-in-github\/23487\/","title":{"rendered":"C\u00f3digo malicioso no GitHub: como os hackers atacam programadores"},"content":{"rendered":"

Voc\u00ea consegue imaginar um mundo em que sempre que quisesse ir a algum lugar, voc\u00ea tivesse que reinventar a roda e construir uma bicicleta do zero? Tamb\u00e9m n\u00e3o conseguimos. Por que reinventar algo que j\u00e1 existe e funciona perfeitamente? Podemos aplicar a mesma l\u00f3gica \u00e0 programa\u00e7\u00e3o: desenvolvedores lidam diariamente com tarefas rotineiras e, em vez de inventar suas pr\u00f3prias rodas e bicicletas (que podem n\u00e3o ser t\u00e3o boas), pegam c\u00f3digos de bicicletas<\/span> j\u00e1 prontos dos reposit\u00f3rios de c\u00f3digo aberto do GitHub.<\/p>\n

Esta solu\u00e7\u00e3o est\u00e1 dispon\u00edvel para todos, incluindo criminosos que usam os melhores c\u00f3digos-fonte abertos do mundo<\/em> como iscas para seus ataques. H\u00e1 muitas evid\u00eancias que comprovam isso. A mais recente delas \u00e9 que nossos especialistas descobriram uma campanha maliciosa ativa, a GitVenom, que tem como alvo os usu\u00e1rios do GitHub.<\/p>\n

O que \u00e9 a GitVenom?<\/strong><\/h2>\n

GitVenom \u00e9 o nome que damos a esta campanha maliciosa, na qual agentes desconhecidos criaram mais de 200 reposit\u00f3rios contendo projetos falsos com c\u00f3digo malicioso: bots do Telegram, ferramentas para hackear o jogo Valorant, utilit\u00e1rios de automa\u00e7\u00e3o do Instagram e gerenciadores de carteiras de Bitcoin. \u00c0 primeira vista, todos os reposit\u00f3rios pareciam leg\u00edtimos. Particularmente not\u00e1vel \u00e9 o bem projetado arquivo README.MD (um guia sobre como trabalhar com o c\u00f3digo) com instru\u00e7\u00f5es detalhadas em v\u00e1rios idiomas. Al\u00e9m disso, os invasores adicionaram diversas tags aos pr\u00f3prios reposit\u00f3rios.<\/p>\n

\"Os<\/a>

Os invasores usaram IA para escrever instru\u00e7\u00f5es detalhadas em v\u00e1rios idiomas<\/p><\/div>\n

A grande quantidade de commits que esses reposit\u00f3rios possuem \u00e9 outro indicador que refor\u00e7a a aparente legitimidade. Os reposit\u00f3rios dos invasores possuem v\u00e1rios, talvez milhares, de commits. E, certamente, os invasores n\u00e3o estavam atualizando manualmente cada um dos 200 reposit\u00f3rios para que permanecem aut\u00eanticos. Eles usavam arquivos de registro de data e hora que eram atualizados frequentemente. A combina\u00e7\u00e3o de uma documenta\u00e7\u00e3o detalhada com v\u00e1rios commits gerou a ilus\u00e3o de que o c\u00f3digo era genu\u00edno e seguro.<\/p>\n

GitVenom: Dois anos de atividade<\/strong><\/h2>\n

A campanha come\u00e7ou h\u00e1 cerca de dois anos, que \u00e9 a data do reposit\u00f3rio falso mais antigo que encontramos. Durante este tempo, a GitVenom afetou desenvolvedores na R\u00fassia, Brasil, Turquia e outros pa\u00edses. Os atacantes exploraram uma grande variedade de linguagens de programa\u00e7\u00e3o, por exemplo, encontramos c\u00f3digos maliciosos em Python, JavaScript, C, C# e C++.<\/p>\n

Em rela\u00e7\u00e3o \u00e0 funcionalidade desses projetos, os recursos descritos no arquivo README n\u00e3o correspondiam ao c\u00f3digo real, na verdade, ele n\u00e3o fazia metade do que afirmava. Mas foi \u201cgra\u00e7as\u201d a isso que as v\u00edtimas acabaram baixando os componentes maliciosos. Estes incluem:<\/p>\n