Mais uma vez, o GitHub se torna um vetor de ataque, provando que a confiança cega em repositórios abertos é um convite para o desastre.
Pesquisadores da Trend Micro identificaram o BoryptGrab, um malware que, desde o final de 2025, tem se espalhado por centenas de repositórios falsos, mirando dados sensíveis armazenados em navegadores e aplicativos como o Discord. É a velha história: se é de graça, você é o produto.
A Armadilha do 'Grátis': Como a Engenharia Social Vira Código Malicioso
A cena é clássica. Você, desenvolvedor ou entusiasta, está atrás daquela ferramenta "gratuita" para otimizar seu jogo, editar um vídeo ou até mesmo para uma "trapaça" esperta. É aí que a gambiarra começa. Os criminosos, com uma astúcia que daria inveja a muito scrum master, criam repositórios no GitHub que parecem legítimos. Estamos falando de iscas como "Voicemod Pro Grátis", "Filmora Crackeado" ou até mesmo "Cheats para Valorant e CS2". Sério, quem ainda cai nessa?
O golpe é refinado com uma pitada de SEO. Sim, eles usam técnicas de otimização para que esses repositórios falsos apareçam bem ranqueados no Google, muitas vezes logo abaixo do resultado oficial. É o equivalente digital a um phishing com certificado SSL válido. Você clica, achando que está no caminho certo, mas é redirecionado por uma cadeia de URLs codificadas em Base64 e criptografadas com AES. Isso não é segurança, é apenas uma tentativa patética de dificultar o rastreamento, como se um firewall de borda não fosse ver o tráfego anômalo.
No final dessa jornada tortuosa, você baixa um arquivo ZIP. Dentro dele, claro, não está a ferramenta dos seus sonhos, mas um executável. Ao rodá-lo, o sistema é infectado silenciosamente através de uma técnica chamada DLL side-loading. Basicamente, o malware engana um programa legítimo do Windows para carregar uma biblioteca maliciosa no lugar da original. É um exploit de manual, mostrando a falta de validação de integridade de módulos em muitas aplicações. E a primeira ação desse "launcher" malicioso? Adicionar o disco inteiro às exceções do Windows Defender. É o equivalente a desligar o alarme de incêndio antes de começar o churrasco na sala. Totalmente previsível, totalmente evitável com um mínimo de higiene digital.
Dissecando o BoryptGrab: Uma Análise Forense da Invasão
Agora, vamos aos detalhes que realmente importam. O BoryptGrab não é um novato no bloco; ele tem um alvo bem definido: seus dados de navegador. O Chrome, com sua camada de proteção App-Bound Encryption, que deveria vincular dados sensíveis ao próprio aplicativo, é o principal objetivo. Mas, como sempre, onde há uma proteção, há um bypass. O malware utiliza técnicas que, ironicamente, foram extraídas de repositórios públicos do GitHub, originalmente destinados à pesquisa de segurança. É a prova de que ferramentas de pentest nas mãos erradas viram armas de ataque.
Uma vez dentro, o BoryptGrab não brinca em serviço. Ele varre senhas salvas, cookies de sessão e todo o histórico de navegação de uma lista impressionante de navegadores: Chrome, Firefox, Edge, Opera, Brave, Vivaldi e Yandex Browser. Roubar cookies de sessão é um golpe mestre, pois permite ao atacante assumir sua identidade online sem precisar de senha. É como ter a chave da sua casa sem precisar arrombar a porta. A falta de rotação de tokens e a persistência de sessões longas são falhas de arquitetura que facilitam esse tipo de ataque. Além disso, o malware faz uma busca implacável por extensões de carteiras, visando as chaves privadas, ou "frases-semente". É um golpe que se alastrou entre os usuários de criptomoedas.
Mas a cereja do bolo, para os criminosos, são as carteiras de criptomoedas. O malware faz uma busca implacável por extensões de carteiras, visando as chaves privadas, ou "frases-semente". Perder essas chaves é o equivalente a jogar seu dinheiro no lixo digital, sem direito a estorno ou suporte. Além disso, ele coleta tokens do Discord, que são credenciais de autenticação que dão acesso direto à sua conta, e arquivos do Telegram. Para completar o pacote, ele tira uma foto da tela no momento da infecção e varre diretórios comuns em busca de arquivos com extensões específicas, compactando tudo em um único arquivo e enviando para os servidores dos atacantes. É um exfiltração de dados completa, sem deixar rastros óbvios para o usuário comum.
E como se não bastasse, algumas variantes do BoryptGrab instalam um backdoor chamado TunnesshClient. Isso não é um simples roubo de dados; é um convite para uma festa persistente na sua máquina. O TunnesshClient estabelece um túnel SSH reverso com o servidor dos criminosos. Para quem não é da área, SSH é o protocolo que usamos para acessar servidores remotamente de forma segura. No modo reverso, é a máquina da vítima que inicia a conexão, o que, para muitos firewalls mal configurados, parece tráfego legítimo. Através desse túnel, os atacantes podem executar comandos, transferir arquivos e até usar seu computador como um proxy SOCKS5, disfarçando suas atividades maliciosas com o seu IP. É a sua máquina virando um botnet pessoal.
Os indícios de origem são claros como água suja de log. Comentários em russo nos arquivos HTML das páginas falsas, mensagens de log em russo nos componentes do malware e endereços IP dos servidores de comando e controle (C2) geolocalizados na Rússia. Não é preciso ser um analista de inteligência para juntar os pontos. A escala da operação também é impressionante: mais de uma centena de repositórios falsos e diferentes versões do malware circulando sob nomes como "Shrek", "Sonic", "Leon" e "CryptoByte". Isso não é um ataque de script kiddie; é uma operação organizada, ativa e em constante evolução, mostrando uma infraestrutura robusta e um ciclo de desenvolvimento contínuo para o malware. É a prova de que a segurança é uma corrida armamentista sem fim, e muitos ainda estão usando estilingues.
A operação BoryptGrab continua ativa, evoluindo e explorando a engenharia social para comprometer sistemas globalmente, com uma clara origem e metodologia.