GitHub virou isca para campanha de roubo de senhas e criptomoedas
Uma campanha de distribuição de malware, chamada BoryptGrab, está usando repositórios falsos no GitHub para infectar computadores. O objetivo é roubar dados das vítimas que armazenam informações de navegação em extensões do Chrome. Os criminosos criaram repositórios falsos que usam técnicas SEO e URLs codificadas para dificultar o rastreamento, redirecionando a vítima para um arquivo ZIP com malware. Após a abertura do arquivo, o malware carrega uma biblioteca maliciosa, como DLL side-loading, e um launcher que desativa a proteção do sistema e executa outros malware. O BoryptGrab coleta senhas salvas, cookies de sessão, dados de navegação e informações de carteiras de criptomoedas, tokens do Discord, arquivos do Telegram, e captura fotos da tela. Um backdoor chamado TunnesshClient é instalado em algumas variantes para permitir acesso persistente ao computador da vítima. Evidências apontam para a origem russa do ataque, com endereços IP geolocalizados na Rússia e diferentes versões do malware circulando. A operação é extensa, com mais de uma centena de repositórios falsos identificados.