Malware GitVenom desvia US$ 456 mil em Bitcoin usando repositórios GitHub fraudulentos

A operação, que envolve centenas de repositórios, foi nomeada GitVenom pela Kaspersky.

“Os projetos comprometidos incluem uma ferramenta de automação para interação com contas do Instagram, um bot do Telegram que permite o gerenciamento remoto de carteiras de Bitcoin e um software de crack para o jogo Valorant”, afirmou a empresa russa de segurança cibernética.

“Todas essas supostas funcionalidades eram enganosas, e os criminosos responsáveis pela campanha furtaram dados pessoais e bancários, além de sequestrarem endereços de criptomoedas copiados para a área de transferência.”

A ação ilícita resultou no roubo de 5 bitcoins, avaliados em aproximadamente US$ 456.600 no momento da apuração. Acredita-se que a campanha esteja em atividade há pelo menos dois anos, desde que alguns dos repositórios falsificados foram disponibilizados. A maioria das tentativas de infecção foi identificada na Rússia, Brasil e Turquia.

Leia também

Os projetos utilizados no golpe foram escritos em diversas linguagens de programação, incluindo Python, JavaScript, C, C++ e C#. No entanto, independentemente da tecnologia empregada, o objetivo final é o mesmo: implantar uma carga maliciosa embutida, responsável por recuperar módulos adicionais de um repositório GitHub sob controle dos criminosos e executá-los.

Dentre esses componentes, destaca-se um ladrão de credenciais baseado em Node.js, projetado para coletar senhas, informações bancárias, dados salvos, histórico de navegação e carteiras de criptomoedas. Esses dados são então compactados em um arquivo .7z e enviados aos agentes mal-intencionados via Telegram.

Além disso, os projetos fraudulentos no GitHub também distribuem ferramentas de controle remoto, como AsyncRAT e Quasar RAT, que permitem comandar máquinas infectadas, além de um malware clipper, capaz de substituir endereços de carteira copiados para a área de transferência por uma carteira pertencente aos criminosos, redirecionando os fundos digitais para eles.

“Como plataformas de compartilhamento de código, como o GitHub, são amplamente utilizadas por milhões de desenvolvedores ao redor do mundo, criminosos continuarão explorando software fraudulento como vetor de infecção”, alertou Georgy Kucherin, pesquisador da Kaspersky.

“Por isso, é essencial ter extrema cautela ao lidar com código de terceiros. Antes de executá-lo ou incorporá-lo a um projeto existente, é fundamental revisar detalhadamente suas ações.”

Esse incidente ocorre enquanto a Bitdefender denuncia uma nova tática fraudulenta, em que golpistas estão explorando grandes torneios de e-sports, como o IEM Katowice 2025 e o PGL Cluj-Napoca 2025, para atacar jogadores do popular jogo Counter-Strike 2 (CS2).

“Ao sequestrar contas do YouTube para se passarem por jogadores profissionais como s1mple, NiKo e donk, os criminosos atraem fãs para sorteios falsos de skins do CS2, resultando no roubo de contas Steam, criptomoedas e itens valiosos dentro do jogo”, informou a empresa de segurança cibernética romena.