Backdoor disfarçada em oferta de emprego no LinkedIn: repositório falso no GitHub usou nome real de desenvolvedor
Aprofundamento CEVIU
Aprofundamento
O ataque descrito por Roman não é uma anomalia, é o novo padrão de cadeia de suprimentos maliciosa em 2026. Diferente de campanhas anteriores que dependiam de pacotes publicados em registries (npm, PyPI), essa operação usa um repositório público *no GitHub* como vetor principal, com identidade roubada e execução automática via npm prepare, um hook subutilizado e pouco auditado. Isso evita detecção por scanners tradicionais de packages, já que o código nunca entra no registry: ele é executado diretamente ao clonar e instalar dependências.
O domínio rest-icon-handler.store já foi associado a outras campanhas da mesma família, segundo relatórios do Socket Labs e da Trellix em maio de 2026. E o uso de um jornalista real como 'recrutador' não é acaso: ataques recentes como o Megalodon (maio/2026) e o Fake Font usam perfis legítimos com deepfakes ou dados públicos para aumentar credibilidade, o LinkedIn virou uma plataforma de distribuição de malware com taxa de sucesso crescente: 52% dos ataques de phishing globais em 2022 usavam sua marca, e em 2026 esse vetor se refinou com alvos técnicos precisos.
O que mudou
Em maio, a CEVIU reportou duas campanhas distintas com a mesma lógica: a Contagious Interview (0G Labs/Web3) e a TrapDoor (34 pacotes em npm/PyPI/Crates.io). Agora, em junho, o modus operandi evoluiu: trocou-se o pacote malicioso por um repositório GitHub atribuído a um desenvolvedor real sem seu conhecimento. Não há mais necessidade de publicar no registry, basta enganar o recrutador (ou o dev) para clonar e rodar npm install. O script prepare é o gatilho, e ele funciona mesmo em repositórios públicos, sem aviso visual. Também é a primeira vez que vemos um caso documentado com impersonificação direta de commits (39 commits falsos) + domínio C2 operando desde abril/2026, segundo análise de IOC do GitHub Abuse Team.
Por que isso importa
Isso muda a superfície de ataque: agora não basta escanear pacotes instalados, é preciso validar toda origem de código externo, mesmo em repositórios públicos e com autoria aparentemente confiável. O GitHub não verifica a autoria real dos commits, só a assinatura GPG ou o email configurado. Um perfil falso pode ter 100% de commits válidos tecnicamente, mas zero relação com o autor. Para empresas, isso exige revisão imediata de políticas de onboarding: nenhuma dependência externa deve ser integrada sem sandboxing prévio, verificação de integridade de commits (com git verify-commit) e análise estática automatizada antes de qualquer npm install ou git clone.
Linha do tempo
CEVIU reporta ataque Contagious Interview com falsa entrevista Web3 e repositório malicioso ativado por npm prepare
CEVIU detalha campanha que usa mensagens falsas no LinkedIn e Git hooks maliciosos para espalhar malware
CEVIU cobre campanha TrapDoor com 34 pacotes maliciosos em npm, PyPI e Crates.io
Nova campanha usa repositório GitHub falso com commits atribuídos a desenvolvedor real e backdoor ativada por npm prepare
Perguntas frequentes
Como saber se um repositório no GitHub foi criado com minha identidade sem meu consentimento?
Verifique seu email no GitHub Settings > Emails, se houver um endereço que você não reconhece, alguém pode estar usando-o para commitear. Busque seu nome completo e email no GitHub com repo:public org:github user:[email protected]. Se encontrar repositórios que você não criou, denuncie imediatamente no [email protected] com capturas de tela dos commits.
Por que o script 'prepare' no package.json é tão perigoso?
Ele roda automaticamente após npm install, mesmo em ambientes de desenvolvimento locais. Diferente de postinstall, que muitos bloqueiam, prepare é menos monitorado e não aparece em listas de hooks suspeitos. Em 2026, 78% dos ataques via repositório usaram esse hook, segundo dados da Socket Labs.
O que fazer ao receber uma oferta de emprego que pede para analisar um repositório?
Nunca execute npm install ou git clone diretamente. Use uma VM isolada ou contêiner Docker com rede desativada. Leia o package.json primeiro, busque por prepare, preinstall ou postinstall. Verifique se o domínio do C2 (como rest-icon-handler.store) consta em listas negras como MalwareDomainList ou AbuseIPDB.
Essa tática afeta só devs JavaScript?
Não. Em maio, a campanha Megalodon usou o mesmo padrão em repositórios Python com setup.py malicioso e em Rust com build.rs que baixava payloads. A lógica é universal: explorar hooks de build automáticos em qualquer linguagem que permita execução de código durante instalação ou compilação.
Links relacionados
- ⚠️Cuidado com seu Git: investigando malware que se espalha através de repositórios Git
- 🕵️♂️Engenharia Reversa de um Ataque à Cadeia de Suprimentos Estilo Coreia do Norte Entregue via Falsa Entrevista de Emprego Web3
- 🚨Campanha de malware TrapDoor coloca estações de trabalho de desenvolvedores em foco dos CISOs
Fontes
- roman.ptfonte original
- Categoria
- CEVIU
- Publicado
- 16 de junho de 2026
- Editoria
- CEVIU