São Paulo — InkDesign News — Uma nova operação de Malware-as-a-Service (MaaS) está utilizando repositórios do GitHub para disseminar diversas famílias de infostealers. A campanha foi descoberta por pesquisadores da Cisco Talos, que revelaram como os atacantes têm empregado o bot Amadey para baixar malware diretamente de páginas públicas do GitHub para sistemas infectados.
Incidente e vulnerabilidade
A operação emergiu em abril de 2025, com rastros de atividade que remontam a fevereiro, coincidindo com ataques por e-mail de phishing a organizações ucranianas. Os analistas da Talos observaram uma sobreposição significativa nas táticas e na infraestrutura entre esta campanha e uma anterior vinculada ao SmokeLoader, sugerindo que o mesmo grupo pode estar por trás de ambas. A exploração do GitHub destaca-se, visto que os atacantes criaram contas falsas que funcionavam como diretórios abertos, hospedando ferramentas e plugins do Amadey, o que possibilitou contornar filtros web que normalmente bloqueariam domínios maliciosos.
Impacto e resposta
Uma conta de destaque, denominada “Legendary99999”, hospedava mais de 160 repositórios, cada um contendo um único arquivo malicioso disponível para download imediato através de uma URL direta do GitHub. Estas contas também incluíam scripts, carregadores e binários de infostealers como Amadey e Lumma, além de um script Python disfarçado de ferramenta de criptomoedas. Após a notificação, o GitHub tomou medidas rápidas para desativar as contas identificadas, mas isso realça como plataformas comuns podem ser exploradas para propósitos maliciosos. “Enquanto o GitHub agiu rapidamente, é um desafio detectar tais abusos em ambientes onde o acesso à plataforma é imprescindível”, afirma um pesquisador da Cisco Talos.
Mitigações recomendadas
É crucial que organizações reforcem suas políticas de segurança cibernética, implementando monitoramento rigoroso de atividades em plataformas como GitHub e aplicando patches de segurança. Boas práticas incluem a validação de fontes de software e o treinamento de funcionários em reconhecimento de tentativas de phishing. Além disso, é vital restrições em acesso a scripts e executáveis não verificados. “As variáveis de infostealers observadas corroboram a suposta distribuição em nome de múltiplos clientes, portanto, cada organização deve estar ciente das potenciais ameaças que esses serviços apresentam”, ressalta um especialista em segurança.
Os riscos residuais associados a este tipo de operação continuam altos, e as equipes de segurança devem permanecer vigilantes em relação a novas variantes de malware e suas técnicas de entrega. O monitoramento contínuo e a aplicação de boas práticas de segurança digital são essenciais para mitigar estes riscos.
Fonte: (Hack Read – Segurança Cibernética)
