---
title: "Falha Crítica: Malware no GitHub Explora Extensões de Navegador"
author: "Luan Andrade"
published: 2026-03-09T22:00:54.209+00:00
updated: 2026-07-09T04:15:16.719342+00:00
section: "IA & Inovação"
canonical: https://bitflowtech.com.br/artigo/falha-critica-malware-no-github-explora-extensoes-de-navegador-mmjptjnq
source: BitFlow Tech
license: "Citação permitida com atribuição e link para a URL canônica."
---

# Falha Crítica: Malware no GitHub Explora Extensões de Navegador

> Mais uma vez, o GitHub se torna um vetor de ataque, provando que a confiança cega em repositórios abertos é um convite para o desastre.

**Autor:** Luan Andrade  
**Publicado:** 2026-03-09  
**Seção:** IA & Inovação  
**Original:** https://bitflowtech.com.br/artigo/falha-critica-malware-no-github-explora-extensoes-de-navegador-mmjptjnq

![Falha Crítica: Malware no GitHub Explora Extensões de Navegador](https://qbgwyoweznyfgawghggl.supabase.co/storage/v1/object/public/covers/falha-critica-malware-no-github-explora-extensoes-de-navegador-mmjptjnq-1773093047800.jpg)

---

**Mais uma vez, o GitHub se torna um vetor de ataque, provando que a confiança cega em repositórios abertos é um convite para o desastre.**

Pesquisadores da Trend Micro identificaram o BoryptGrab, um malware que, desde o final de 2025, tem se espalhado por centenas de repositórios falsos, mirando dados sensíveis armazenados em navegadores e aplicativos como o Discord. É a velha história: se é de graça, você é o produto.

## A Armadilha do 'Grátis': Como a Engenharia Social Vira Código Malicioso

A cena é clássica. Você, desenvolvedor ou entusiasta, está atrás daquela ferramenta "gratuita" para otimizar seu jogo, editar um vídeo ou até mesmo para uma "trapaça" esperta. É aí que a gambiarra começa. Os criminosos, com uma astúcia que daria inveja a muito *scrum master*, criam repositórios no GitHub que parecem legítimos. Estamos falando de iscas como "Voicemod Pro Grátis", "Filmora Crackeado" ou até mesmo "Cheats para Valorant e CS2". Sério, quem ainda cai nessa?

O golpe é refinado com uma pitada de SEO. Sim, eles usam técnicas de otimização para que esses repositórios falsos apareçam bem ranqueados no Google, muitas vezes logo abaixo do resultado oficial. É o equivalente digital a um *phishing* com certificado SSL válido. Você clica, achando que está no caminho certo, mas é redirecionado por uma cadeia de URLs codificadas em Base64 e criptografadas com AES. Isso não é segurança, é apenas uma tentativa patética de dificultar o rastreamento, como se um *firewall* de borda não fosse ver o tráfego anômalo.

No final dessa jornada tortuosa, você baixa um arquivo ZIP. Dentro dele, claro, não está a ferramenta dos seus sonhos, mas um executável. Ao rodá-lo, o sistema é infectado silenciosamente através de uma técnica chamada DLL side-loading. Basicamente, o malware engana um programa legítimo do Windows para carregar uma biblioteca maliciosa no lugar da original. É um *exploit* de manual, mostrando a falta de validação de integridade de módulos em muitas aplicações. E a primeira ação desse "launcher" malicioso? Adicionar o disco inteiro às exceções do Windows Defender. É o equivalente a desligar o alarme de incêndio antes de começar o churrasco na sala. Totalmente previsível, totalmente evitável com um mínimo de higiene digital.

## Dissecando o BoryptGrab: Uma Análise Forense da Invasão

Agora, vamos aos detalhes que realmente importam. O BoryptGrab não é um novato no bloco; ele tem um alvo bem definido: seus dados de navegador. O Chrome, com sua camada de proteção *App-Bound Encryption*, que deveria vincular dados sensíveis ao próprio aplicativo, é o principal objetivo. Mas, como sempre, onde há uma proteção, há um *bypass*. O malware utiliza técnicas que, ironicamente, foram extraídas de repositórios públicos do GitHub, originalmente destinados à pesquisa de segurança. É a prova de que ferramentas de pentest nas mãos erradas viram armas de ataque.

Uma vez dentro, o BoryptGrab não brinca em serviço. Ele varre senhas salvas, *cookies* de sessão e todo o histórico de navegação de uma lista impressionante de navegadores: Chrome, Firefox, Edge, Opera, Brave, Vivaldi e Yandex Browser. Roubar *cookies* de sessão é um golpe mestre, pois permite ao atacante assumir sua identidade online sem precisar de senha. É como ter a chave da sua casa sem precisar arrombar a porta. A falta de rotação de *tokens* e a persistência de sessões longas são falhas de arquitetura que facilitam esse tipo de ataque. Além disso, o malware faz uma busca implacável por extensões de carteiras, visando as chaves privadas, ou "frases-semente". É um [golpe](/artigo/alerta-critico-malware-shub-stealer-ameaca-ativos-digitais-em-macs-corporativos-mmm3x23q) que se alastrou entre os usuários de criptomoedas.

Mas a cereja do bolo, para os criminosos, são as carteiras de criptomoedas. O malware faz uma busca implacável por [extensões de carteiras](/artigo/pixrevolution-a-engenharia-social-que-quebra-o-pix-no-android-mmmqixge), visando as chaves privadas, ou "frases-semente". Perder essas chaves é o equivalente a jogar seu dinheiro no lixo digital, sem direito a estorno ou suporte. Além disso, ele coleta *tokens* do Discord, que são credenciais de autenticação que dão acesso direto à sua conta, e arquivos do Telegram. Para completar o pacote, ele tira uma foto da tela no momento da infecção e varre diretórios comuns em busca de arquivos com extensões específicas, compactando tudo em um único arquivo e enviando para os servidores dos atacantes. É um *exfiltração* de dados completa, sem deixar rastros óbvios para o usuário comum.

E como se não bastasse, algumas variantes do BoryptGrab instalam um *backdoor* chamado TunnesshClient. Isso não é um simples roubo de dados; é um convite para uma festa persistente na sua máquina. O TunnesshClient estabelece um túnel SSH reverso com o servidor dos criminosos. Para quem não é da área, SSH é o protocolo que usamos para acessar servidores remotamente de forma segura. No modo reverso, é a máquina da vítima que inicia a conexão, o que, para muitos *firewalls* mal configurados, parece tráfego legítimo. Através desse túnel, os atacantes podem executar comandos, transferir arquivos e até usar seu computador como um *proxy SOCKS5*, disfarçando suas atividades maliciosas com o seu IP. É a sua máquina virando um *botnet* pessoal.

Os indícios de origem são claros como água suja de *log*. Comentários em russo nos arquivos HTML das páginas falsas, mensagens de *log* em russo nos componentes do malware e endereços IP dos servidores de comando e controle (C2) geolocalizados na Rússia. Não é preciso ser um analista de inteligência para juntar os pontos. A escala da operação também é impressionante: mais de uma centena de repositórios falsos e diferentes versões do malware circulando sob nomes como "Shrek", "Sonic", "Leon" e "CryptoByte". Isso não é um ataque de script kiddie; é uma operação organizada, ativa e em constante evolução, mostrando uma infraestrutura robusta e um ciclo de desenvolvimento contínuo para o malware. É a prova de que a segurança é uma corrida armamentista sem fim, e muitos ainda estão usando estilingues.

A operação BoryptGrab continua ativa, evoluindo e explorando a engenharia social para comprometer sistemas globalmente, com uma clara origem e metodologia.

---

_© 2026 BitFlow Tech. Conteúdo original — citação permitida com atribuição e link para https://bitflowtech.com.br/artigo/falha-critica-malware-no-github-explora-extensoes-de-navegador-mmjptjnq._
