CEVIU Logo
Voltar
Campanha Maliciosa no GitHub: Repositórios Falsos da Arctic Wolf e Outras Marcas Distribuem Infostealer BoryptGrab

Ataque Sofisticado no GitHub Usa Repositórios Falsos Para Distribuir Infostealer BoryptGrab

Aprofundamento CEVIU

Aprofundamento

A mais recente investida contra usuários de GitHub revela uma campanha sofisticada do infostealer BoryptGrab, que explora a confiança em projetos legítimos para roubar dados sensíveis. Desde 26 de junho de 2026, o ator da ameaça criou mais de 292 repositórios falsos, personificando marcas como a Arctic Wolf. O golpe se concretiza quando a vítima, ao clicar em um link disfarçado, é levada a domínios controlados pelos atacantes (como targetroyena[.]com) para baixar um arquivo ZIP malicioso.

O diferencial técnico está na execução do malware: o ZIP contém um atualizador WinGUP legítimo. Contudo, através de DLL side-loading, ele executa uma libcurl.dll trojanizada. Esta DLL, então, decodifica e ativa o BoryptGrab diretamente na memória, evitando detecção baseada em arquivo. O infostealer rouba credenciais de navegadores, mensageiros, carteiras de criptomoedas e do Windows Credential Manager, exfiltrando tudo via Winsock POST para um C2 na Rússia (IP 193.143.1[.]131). O CEVIU News já alertou sobre a ascensão de repositórios maliciosos no GitHub em 17 de março de 2026, e esta campanha é um exemplo claro dessa tendência.

O que mudou

Desde nossa cobertura em 10 de março de 2026, na matéria intitulada "Mais de 100 Repositórios no GitHub Distribuem o Stealer BoryptGrab", a campanha deste infostealer mostrou uma evolução significativa. Naquela época, o CEVIU News documentou "mais de 100" repositórios enganosos. Agora, o número de páginas falsas disparou para 292, com uma estratégia mais direcionada de personificação de marcas. O atacante não só ampliou a escala, mas também refinou as táticas.

O próprio BoryptGrab evoluiu. Enquanto antes se tratava de um stealer de informações em C/C++ distribuído de forma mais genérica, a versão atual opera totalmente em memória, uma técnica que dificulta a detecção e análise forense. Suas capacidades de coleta de dados também foram expandidas, agora incluindo varredura de memória de processos para dados do Steam, coleta de credenciais do Meta Max e mira em navegadores menos comuns, como Amigo e QQBrowser. Esta é uma campanha que demonstra constante aperfeiçoamento nas técnicas de evasão e nos alvos de dados.

Por que isso importa

Este ataque reafirma a vulnerabilidade da cadeia de suprimentos de software e a exploração da confiança em plataformas como o GitHub. A sofisticação na entrega do malware, usando DLL side-loading e execução em memória, mostra que as táticas de evasão estão cada vez mais complexas. Empresas e desenvolvedores precisam entender que a simples verificação de uma fonte "legítima" pode não ser suficiente se o link for manipulado.

A consequência é o roubo massivo de credenciais e dados financeiros, com sérias implicações para a segurança corporativa e pessoal. A necessidade de uma gestão de vulnerabilidades proativa, monitoramento de comportamento de processos e o bloqueio de egress para IPs suspeitos (como 193.143/24) tornam-se medidas críticas para mitigar o risco de infecções e perdas financeiras.

Linha do tempo

  1. CEVIU News reporta mais de 100 repositórios no GitHub distribuindo o stealer BoryptGrab.

  2. CEVIU News destaca a ascensão de repositórios maliciosos no GitHub que se passam por projetos legítimos.

  3. CEVIU News noticia uma campanha massiva de malware no GitHub atingindo 10 mil repositórios.

  4. Ator da ameaça começa a operar repositórios falsos no GitHub, visando distribuir o BoryptGrab.

  5. Ataque sofisticado no GitHub usa repositórios falsos para distribuir infostealer BoryptGrab.

Perguntas frequentes

O que é o BoryptGrab e o que ele faz?

O BoryptGrab é um tipo de malware infostealer focado em roubar informações. Ele é projetado para coletar dados como senhas, cookies de navegadores, informações de carteiras de criptomoedas, dados de mensageiros e credenciais armazenadas no Windows Credential Manager. Ele atua de forma furtiva, buscando exfiltrar o máximo de dados possível da vítima.

Como a campanha do BoryptGrab se propaga pelo GitHub?

Os atacantes criam centenas de repositórios falsos no GitHub, que imitam projetos ou marcas legítimas. Eles inserem links de download ocultos que redirecionam as vítimas para domínios controlados pelos criminosos. Lá, um arquivo ZIP malicioso é baixado, que então usa técnicas avançadas para instalar o BoryptGrab no computador da vítima.

Que técnicas o malware usa para evitar a detecção?

A campanha emprega DLL side-loading, uma técnica onde um arquivo executável legítimo (como o WinGUP) é forçado a carregar uma DLL maliciosa. Além disso, o BoryptGrab é executado diretamente na memória, evitando a gravação de arquivos maliciosos no disco, o que dificulta sua detecção por soluções de segurança tradicionais baseadas em assinaturas.

Como posso me proteger contra ataques como este?

É crucial baixar software apenas de fontes oficiais e verificar a autenticidade de qualquer repositório no GitHub antes de fazer download. Monitore o tráfego de rede para identificar comunicações suspeitas para IPs incomuns, como os na faixa 193.143/24, e utilize soluções de segurança que detectem comportamentos anômalos de processos e execução de DLLs em memória.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
16 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser