Github

Pesquisadores de cibersegurança alertam usuários de Mac sobre uma campanha que utiliza repositórios fraudulentos no GitHub para disseminar malware, especificamente o infostealer conhecido como Atomic Stealer. Os atacantes criam contas falsas no GitHub, imitando empresas confiáveis para induzir os usuários a baixar softwares falsos. Um exemplo recente envolveu páginas que se passavam pelo LastPass, levando os usuários a executar comandos no terminal do Mac que baixavam e instalavam o malware. Essa técnica de engenharia social é potencializada por estratégias de SEO, que fazem com que os links maliciosos apareçam nas primeiras posições dos resultados de busca. Embora algumas páginas tenham sido removidas, os atacantes frequentemente retornam com novos perfis, levantando preocupações sobre a eficácia das plataformas em proteger os usuários. Para se proteger, recomenda-se baixar softwares apenas de fontes verificadas, evitar comandos de sites desconhecidos e manter o sistema atualizado.

Um novo ataque cibernético em larga escala tem como alvo usuários de macOS, utilizando o GitHub Pages para distribuir malware disfarçado de softwares confiáveis, como Malwarebytes e LastPass. Os criminosos criam repositórios falsos com nomes enganosos, otimizando-os para aparecer nas primeiras posições dos resultados de busca. O principal malware utilizado é o Atomic Stealer (AMOS), que rouba credenciais, dados de navegadores e informações de carteiras de criptomoedas sem o conhecimento do usuário. O ataque se aproveita de técnicas de SEO para atrair vítimas, levando-as a executar scripts de instalação maliciosos. Uma vez instalado, o AMOS se torna persistente, criando arquivos que garantem sua execução em logins e inicializações do sistema. Além disso, o malware manipula o conteúdo da área de transferência para redirecionar endereços de carteiras de criptomoedas. Para se proteger, os usuários devem evitar comandos de instalação de fontes não verificadas e utilizar soluções de anti-malware em tempo real. Em caso de infecção, recomenda-se a remoção de arquivos suspeitos e a reinstalação completa do macOS a partir de backups verificados.

Pesquisadores de cibersegurança descobriram uma campanha de phishing sofisticada que utiliza e-mails de notificação do GitHub para disseminar malware entre desenvolvedores de software. Os atacantes comprometem contas de bots do GitHub, enviando mensagens que imitam alertas legítimos de repositórios, conseguindo assim contornar filtros de e-mail avançados e direcionar suas ações a colaboradores de código aberto em diversas plataformas.

O ataque começa com o acesso não autorizado a contas de bots do GitHub, que têm permissão para gerar notificações automatizadas. Os vetores de comprometimento incluem ataques de phishing, uso de credenciais vazadas e exploração de tokens OAuth fracos. Após a invasão, os atacantes modificam as configurações dos bots para enviar e-mails de phishing que replicam a marca do GitHub, incluindo assinaturas DKIM válidas, o que dificulta a detecção.

O GitHub anunciou mudanças significativas em suas opções de autenticação e publicação, em resposta a uma série de ataques à cadeia de suprimentos que afetaram o ecossistema npm, incluindo o ataque Shai-Hulud. As novas medidas visam mitigar ameaças como o abuso de tokens e malware auto-replicante. Entre as alterações, destaca-se a implementação de autenticação de dois fatores (2FA) obrigatória para publicações locais, a limitação da validade de tokens granulares a sete dias e a introdução de uma nova funcionalidade chamada ‘publicação confiável’. Esta última elimina a necessidade de tokens npm, utilizando credenciais específicas de fluxo de trabalho que são criptograficamente autenticadas, garantindo a origem e o ambiente de construção de cada pacote publicado. O ataque Shai-Hulud, que injetou um verme auto-replicante em centenas de pacotes npm, destacou a vulnerabilidade do sistema, ao permitir que segredos sensíveis fossem extraídos de máquinas de desenvolvedores. Além disso, um pacote malicioso chamado fezbox foi identificado, capaz de roubar senhas de navegadores através de uma técnica esteganográfica. Embora o pacote tenha sido removido, ele ilustra a necessidade crescente de ferramentas de verificação de dependências. Essas mudanças são cruciais para aumentar a confiança na cadeia de suprimentos de software e proteger os desenvolvedores contra novas ameaças.

Uma nova campanha de cibersegurança está em andamento, visando usuários do macOS através de páginas fraudulentas no GitHub. A equipe de inteligência de ameaças da LastPass identificou repositórios falsos que imitam empresas legítimas, como gerenciadores de senhas e instituições financeiras. Esses sites, que aparecem nas primeiras posições dos resultados de busca, enganam os usuários a instalarem um software malicioso chamado Atomic Stealer, que coleta credenciais e dados sensíveis. Os atacantes utilizam técnicas de SEO agressivas para aumentar a visibilidade de suas páginas, dificultando a detecção. Quando os usuários clicam nos links de download, são redirecionados para um site que instrui a execução de um comando no Terminal do macOS, que baixa e executa um script malicioso. A LastPass recomenda que os usuários instalem aplicativos apenas de fontes verificadas e que as equipes de segurança monitorem URLs suspeitas. A campanha é uma preocupação crescente, especialmente devido à sua capacidade de evadir controles de segurança básicos e à rápida rotação de contas e repositórios utilizados pelos atacantes.

A LastPass alertou sobre uma campanha de roubo de informações que está afetando usuários do macOS, utilizando repositórios falsos no GitHub para distribuir programas maliciosos disfarçados de ferramentas legítimas. Os pesquisadores da LastPass identificaram que os repositórios fraudulentos redirecionam as vítimas para um repositório que baixa o malware conhecido como Atomic Stealer. Além do LastPass, outras ferramentas populares como 1Password, Dropbox e Shopify também estão sendo impersonificadas.

A técnica utilizada inclui a otimização de mecanismos de busca (SEO) para posicionar links maliciosos nos primeiros resultados do Bing e Google, levando os usuários a clicar em botões de download que os redirecionam para páginas do GitHub. Essas páginas, criadas por múltiplos usuários para evitar remoções, instruem os usuários a executar comandos no Terminal, resultando na instalação do malware. Campanhas semelhantes já foram observadas anteriormente, utilizando anúncios patrocinados maliciosos e repositórios públicos para distribuir cargas maliciosas. A situação é preocupante, pois o uso de repositórios do GitHub para hospedar malware pode enganar até mesmo usuários mais experientes.

Pesquisadores de cibersegurança da Check Point descobriram um ecossistema de malware sofisticado, onde atores de ameaças utilizam repositórios do GitHub para hospedar a infraestrutura de comando e controle da família de malwares Pure. O desenvolvedor PureCoder aproveita plataformas legítimas para distribuir ferramentas maliciosas, dificultando a detecção. A investigação revelou uma cadeia de ataque complexa iniciada por técnicas de phishing, onde vítimas eram atraídas por anúncios de emprego falsos. Ao acessar sites maliciosos, comandos PowerShell eram copiados automaticamente para a área de transferência, levando ao download de arquivos JavaScript que implantavam o PureHVNC RAT. Este malware permite controle remoto de máquinas infectadas sem o conhecimento do usuário. Além disso, os repositórios do GitHub continham plugins para manipulação automatizada de redes sociais. A análise técnica revelou técnicas avançadas de anti-análise e criptografia, tornando a detecção ainda mais desafiadora. A descoberta de contas do GitHub com configuração de fuso horário UTC+0300 sugere uma possível origem russa para os desenvolvedores. Essa situação representa um risco significativo para a segurança cibernética, exigindo atenção das autoridades e profissionais de segurança.

Pesquisadores de cibersegurança descobriram uma sofisticada campanha de malvertising que utiliza repositórios oficiais do GitHub para distribuir malware disfarçado como downloads do cliente GitHub Desktop. O ataque começa quando atores de ameaças ‘forkam’ repositórios legítimos do GitHub, inserindo conteúdo malicioso em arquivos README.md. Links manipulados direcionam os usuários para esses repositórios comprometidos, onde encontram uma página que parece ser a oficial do GitHub Desktop. No entanto, o link de download leva a um instalador malicioso, identificado como GitHubDesktopSetup-x64.exe, que inicia uma cadeia de execução complexa envolvendo processos legítimos do Windows para evitar a detecção. O malware utiliza técnicas de evasão sofisticadas, armazenando cargas úteis codificadas em mensagens de commit e executando scripts PowerShell maliciosos. A campanha é direcionada especificamente a sistemas Windows e demonstra como plataformas confiáveis podem ser abusadas para distribuir malware, destacando a necessidade de soluções robustas de detecção e resposta em endpoints e a importância da educação dos usuários sobre a verificação de fontes de download.

Um novo ataque cibernético, denominado GhostAction, comprometeu mais de 3.300 chaves de acesso e credenciais no GitHub, conforme revelado pela empresa de segurança GitGuardian. O ataque, que começou a ser detectado em 2 de setembro de 2025, utiliza uma técnica que insere arquivos maliciosos no fluxo de trabalho do GitHub Actions, permitindo que os hackers leiam e enviem chaves de programação armazenadas em ambientes de projetos para servidores externos. Até o momento, foram identificados 817 repositórios afetados, abrangendo pacotes npm e PyPl, e comprometendo credenciais de serviços como AWS e Cloudflare. A GitGuardian notificou o GitHub e outras plataformas sobre a situação, e recomenda que os usuários afetados revoguem suas credenciais imediatamente para evitar a publicação de versões maliciosas de seus softwares. O ataque é semelhante a um incidente anterior, mas não há evidências de conexão entre eles. A situação destaca a vulnerabilidade da cadeia de abastecimento de software e a necessidade de vigilância constante por parte dos desenvolvedores e empresas que utilizam o GitHub.

O Centro de Inteligência de Ameaças S2W da Coreia do Sul revelou uma campanha sofisticada do grupo APT Kimsuky, apoiado pela Coreia do Norte, que utiliza repositórios do GitHub para hospedar e atualizar malware baseado em PowerShell. Os atacantes disfarçam arquivos LNK como faturas eletrônicas, criando backdoors persistentes e exfiltrando metadados sensíveis para repositórios controlados por eles. A intrusão começa com um arquivo ZIP contendo um atalho malicioso que, ao ser executado, baixa e executa um script PowerShell de um repositório privado no GitHub. Este script não apenas disfarça a atividade maliciosa, mas também coleta informações críticas do sistema, como endereço IP e versão do sistema operacional, enviando esses dados de volta para o repositório do atacante. A análise dos repositórios revelou a utilização de ferramentas de acesso remoto (RAT) e processos de monitoramento de área de transferência. Para mitigar essa ameaça, recomenda-se que equipes de segurança monitorem o tráfego da API do GitHub e implementem validações mais rigorosas de tokens do GitHub em scripts.

A Salesloft confirmou um vazamento de dados relacionado ao seu aplicativo Drift, que teve início com a violação de sua conta no GitHub. A investigação conduzida pela Mandiant, subsidiária do Google, revelou que o ator de ameaças identificado como UNC6395 teve acesso à conta do GitHub da Salesloft entre março e junho de 2025. Durante esse período, o invasor conseguiu baixar conteúdos de múltiplos repositórios, adicionar um usuário convidado e estabelecer fluxos de trabalho. Além disso, foram realizadas atividades de reconhecimento nas aplicações Salesloft e Drift. Embora não haja evidências de atividades além do reconhecimento, os atacantes conseguiram acessar o ambiente da Amazon Web Services (AWS) do Drift e obter tokens OAuth, que foram utilizados para acessar dados de integrações tecnológicas de clientes do Drift. Em resposta ao incidente, a Salesloft isolou a infraestrutura do Drift e tomou medidas de segurança, como a rotação de credenciais e a melhoria do controle de segmentação entre as aplicações. A Salesforce, que havia suspenso temporariamente a integração com a Salesloft, reestabeleceu a conexão, exceto para o aplicativo Drift, que permanecerá desativado até nova ordem.

Pesquisadores de cibersegurança revelaram uma nova campanha de malware sofisticada que utiliza anúncios pagos em motores de busca, como o Google, para disseminar malware a usuários desavisados em busca de ferramentas populares, como o GitHub Desktop. A campanha, que começou a ser observada em dezembro de 2024, tem como alvo empresas de TI e desenvolvimento de software na Europa Ocidental. Os links maliciosos, disfarçados como commits legítimos do GitHub, redirecionam os usuários para um domínio falso, ‘gitpage[.]app’, onde um instalador de software malicioso de 128 MB é baixado. Este instalador é projetado para evitar a detecção por sandboxes de segurança devido ao seu tamanho e utiliza uma rotina de descriptografia que depende de uma unidade de processamento gráfico (GPU), chamada GPUGate. O malware executa scripts em PowerShell com privilégios de administrador, permitindo a adição de exclusões ao Microsoft Defender e a execução de tarefas agendadas para persistência. A análise sugere que os atacantes têm proficiência em russo, indicando uma possível origem russa. Além disso, a campanha está associada ao Atomic macOS Stealer, sugerindo uma abordagem multiplataforma. Este incidente destaca a necessidade de vigilância constante e de medidas de segurança robustas para proteger as organizações contra ameaças emergentes.

Um ataque cibernético conhecido como GhostAction comprometeu 327 usuários do GitHub e 817 repositórios, destacando a sofisticação dos atacantes em manter a infraestrutura maliciosa apenas pelo tempo necessário para coletar credenciais. A análise da GitGuardian revelou que a infraestrutura foi desativada rapidamente após o início das divulgações, indicando um nível profissional de inteligência de ameaças. O ataque não apresentou sobreposição com a recente campanha S1ngularity, sugerindo que diferentes grupos de ameaças estão operando de forma independente. A resposta imediata de organizações e registros de pacotes, como o PyPI, que rapidamente colocou projetos comprometidos em modo somente leitura, ajudou a evitar uma contaminação generalizada da cadeia de suprimentos de software. O incidente ressalta a importância da gestão de segredos em ambientes de CI/CD e a necessidade de monitoramento de segurança aprimorado nos fluxos de trabalho do GitHub Actions. As organizações devem implementar varreduras de segurança abrangentes, rotacionar credenciais comprometidas imediatamente e monitorar modificações não autorizadas nos fluxos de trabalho para prevenir ataques semelhantes.

Em agosto de 2025, pesquisadores de cibersegurança da Arctic Wolf® descobriram uma campanha sofisticada que utiliza o Google Ads e a infraestrutura do GitHub para implantar o malware GPUGate. Este malware foi projetado para evitar análises padrão e comprometer alvos de TI de alto valor. Os atacantes manipulam os resultados de busca patrocinados do Google para palavras-chave como ‘GitHub Desktop’, levando os usuários a um link de download que parece legítimo, mas redireciona para um repositório GitHub com um link malicioso oculto. Após o download do instalador falso, que imita o verdadeiro GitHub Desktop, a cadeia de infecção começa. O arquivo de 128 MB contém executáveis falsos para confundir ambientes de segurança e utiliza rotinas que só são ativadas em sistemas com GPUs reais, explorando a API OpenCL para um processo de descriptografia baseado em hardware. O malware estabelece persistência através de scripts PowerShell e pode baixar cargas secundárias, como módulos de ransomware e ladrões de informações. A campanha tem como alvo profissionais do setor de TI na Europa Ocidental e destaca a necessidade de novas abordagens de defesa em cibersegurança.

Recentemente, o pacote npm ’nx’, amplamente utilizado para gerenciamento de código, foi alvo de um ataque cibernético que comprometeu a segurança de cerca de 100 mil contas. Os hackers exploraram uma vulnerabilidade na cadeia logística do pacote, permitindo a publicação de versões maliciosas que escaneavam sistemas de arquivos em busca de credenciais. Essas informações eram então enviadas para um repositório no GitHub sob a conta da vítima. O ataque afetou principalmente usuários de sistemas Linux e macOS, e as versões comprometidas foram rapidamente removidas do registro. A vulnerabilidade foi introduzida em um workflow do GitHub em 21 de agosto e, apesar de ter sido revertida, os criminosos conseguiram explorar um branch desatualizado. Pesquisadores de segurança alertam que este é o primeiro incidente conhecido a utilizar assistentes de desenvolvimento com IA, como Claude Code e Google Gemini CLI, para burlar a segurança. Os usuários afetados são aconselhados a alterar suas credenciais e verificar arquivos de configuração em busca de instruções maliciosas.

Em 26 de agosto de 2025, o popular ferramenta de construção Nx foi alvo de um ataque sofisticado de cadeia de suprimentos, resultando na exfiltração de milhares de credenciais de desenvolvedores. Pesquisadores de segurança da GitGuardian identificaram a campanha maliciosa, chamada ‘s1ngularity’, que infectou pacotes Nx no npm com malware projetado para roubar credenciais. Em poucos dias, os atacantes conseguiram coletar mais de 2.300 segredos, incluindo tokens do GitHub, chaves de autenticação do npm e credenciais da AWS.

Os mantenedores do sistema de construção nx alertaram os usuários sobre um ataque à cadeia de suprimentos que permitiu a publicação de versões maliciosas de pacotes npm populares, incluindo o nx e plugins auxiliares. Essas versões continham código que escaneava o sistema de arquivos, coletava credenciais e as enviava para repositórios no GitHub sob as contas dos usuários. O ataque ocorreu devido a uma vulnerabilidade introduzida em um fluxo de trabalho em 21 de agosto de 2025, que permitiu a execução de código malicioso através de um pull request. Embora a vulnerabilidade tenha sido revertida rapidamente, um ator malicioso conseguiu explorar uma branch desatualizada. As versões comprometidas foram removidas do registro npm, mas os usuários são aconselhados a rotacionar suas credenciais e tokens do GitHub e npm, além de verificar arquivos de configuração do sistema para instruções suspeitas. O ataque destaca a crescente sofisticação dos ataques à cadeia de suprimentos, especialmente com o uso de assistentes de IA para exploração maliciosa.

Um novo relatório do Trellix Advanced Research Center revelou uma operação de espionagem sofisticada ligada aos hackers Kimsuky, da Coreia do Norte, que exploraram a plataforma GitHub para implantar o malware XenoRAT em embaixadas ao redor do mundo. Entre março e julho de 2025, foram realizados pelo menos 19 ataques de spear-phishing direcionados a missões diplomáticas, principalmente na Coreia do Sul. Os atacantes utilizaram táticas de engenharia social altamente credíveis, se passando por contatos diplomáticos confiáveis e enviando e-mails com convites para eventos oficiais.