Uma nova campanha de distribuição de malware está explorando repositórios falsos no GitHub para infectar computadores e roubar dados de usuários. O foco principal dos ataques são informações armazenadas em extensões do navegador Google Chrome.
O alerta foi divulgado por pesquisadores da Trend Micro, que identificaram o malware batizado de BoryptGrab. Segundo os analistas, a campanha está ativa pelo menos desde o final de 2025 e já conta com mais de 100 repositórios fraudulentos espalhados pela plataforma.
Ferramentas falsas são a porta de entrada
O ataque começa com uma tática simples, mas eficiente. Os criminosos criam repositórios públicos fingindo oferecer programas gratuitos ou ferramentas populares.
Entre as iscas mais usadas estão trapaças para jogos como Valorant e Counter-Strike 2, além de versões supostamente gratuitas de softwares como Voicemod e o editor de vídeo Wondershare Filmora.
Para aumentar a visibilidade desses repositórios falsos, os atacantes utilizam técnicas de SEO para posicionar os links entre os primeiros resultados de busca. Em alguns casos, o repositório malicioso aparecia logo abaixo da página oficial do programa.
Quando a vítima tenta fazer o download, é redirecionada por uma sequência de páginas intermediárias que usam codificação Base64 e criptografia AES para dificultar o rastreamento da origem do ataque. No final do processo, o usuário recebe um arquivo ZIP contendo o malware.
O que acontece após a instalação
Dentro do arquivo compactado existe um executável que, ao ser aberto, utiliza uma técnica chamada DLL side-loading para carregar silenciosamente uma biblioteca maliciosa.
DLLs são arquivos usados por programas do Microsoft Windows para executar determinadas funções. No side-loading, o sistema é enganado para carregar uma versão adulterada dessa biblioteca, permitindo que o malware seja executado sem levantar suspeitas.
Após a execução, a biblioteca descriptografa um launcher, um pequeno programa responsável por baixar e iniciar outros componentes maliciosos.
Uma das primeiras ações do malware é adicionar todo o disco do computador à lista de exceções do Windows Defender, desativando a proteção do antivírus antes de continuar a infecção.
Ataque direcionado ao Chrome e outros navegadores
O principal objetivo do BoryptGrab é coletar dados armazenados nos navegadores da vítima, especialmente no Chrome.
Para isso, o malware precisa contornar um mecanismo chamado App-Bound Encryption, que protege dados sensíveis vinculando-os ao próprio aplicativo para impedir acesso por outros programas.
Mesmo assim, o BoryptGrab consegue extrair senhas salvas, cookies de sessão e histórico de navegação de diversos navegadores, incluindo:
- Chrome
- Firefox
- Edge
- Opera
- Brave
- Vivaldi
- Yandex Browser
Os cookies de sessão são especialmente valiosos porque permitem que um atacante acesse contas online sem precisar da senha, mantendo a sessão já autenticada da vítima.
Carteiras de criptomoedas são alvo prioritário
O malware também vasculha extensões instaladas em busca de carteiras de criptomoedas. Essas ferramentas armazenam as chaves privadas — ou frases-semente — que permitem acessar e movimentar fundos digitais.
Se essas chaves forem roubadas, o acesso aos ativos pode ser perdido permanentemente.
Além disso, o BoryptGrab coleta tokens de autenticação do Discord, arquivos do Telegram e diversos arquivos locais do computador. Durante o processo, o malware ainda captura uma imagem da tela da vítima e envia todos os dados para os servidores dos criminosos em um único arquivo compactado.
Backdoor mantém acesso ao computador
Algumas variantes do malware instalam um componente adicional chamado TunnesshClient, que funciona como um backdoor — uma porta de acesso secreta ao sistema.
Esse módulo cria um túnel SSH reverso entre o computador da vítima e o servidor dos atacantes. O protocolo SSH, normalmente usado para administração remota de servidores, permite que os criminosos executem comandos, transfiram arquivos e até utilizem o computador infectado como um proxy de rede.
Com isso, o tráfego malicioso passa a parecer legítimo, dificultando a detecção por sistemas de segurança.
Indícios apontam para origem russa
Diversos sinais sugerem que os responsáveis pela campanha podem ter origem russa. Comentários em russo foram encontrados nos arquivos HTML das páginas falsas, além de mensagens de log no próprio malware.
Outro indício é a localização dos servidores de comando e controle — responsáveis por gerenciar o malware — que estão geolocalizados na Rússia.
A escala da operação também chama atenção. Os pesquisadores identificaram mais de 100 repositórios falsos ativos, com diferentes versões do malware distribuídas sob nomes de compilação como “Shrek”, “Sonic”, “Leon” e “CryptoByte”.
O cenário revela uma operação organizada e em constante evolução. No ecossistema da segurança digital, isso mostra uma ironia curiosa: plataformas criadas para compartilhar conhecimento e código aberto podem virar terreno fértil para golpes quando a curiosidade técnica encontra um link aparentemente inocente. No mundo hacker, às vezes um simples botão de download é o começo de uma cadeia inteira de espionagem digital.
