Ainda que o GitHub seja um porto seguro para desenvolvedores, a plataforma não está imune a ameaças. Um pesquisador de cibersegurança, que se identifica apenas como Orchid, revelou ter encontrado cerca de 10 mil repositórios na plataforma que distribuem malware do tipo trojan. A descoberta, feita quase por acaso, expõe uma tática sofisticada de criminosos para disfarçar softwares maliciosos.
A história começou de forma trivial: Orchid estava verificando a indexação do seu próprio projeto no Google. Ao digitar o nome do seu repositório, percebeu que, além do seu, outros resultados suspeitos apareciam. Esses resultados levavam a repositórios no GitHub com nomes estranhos, como "ChatGPT-Hacks", "free-tiktok-followers" e "OnlyFans-Nudes-Generator".
A curiosidade o levou a investigar. Ao acessar um desses repositórios, Orchid notou um padrão. Todos continham um executável disfarçado de imagem PNG ou JPEG. Apesar do nome do arquivo indicar um formato de imagem, como um .png, o conteúdo real era um executável do Windows. Para completar o disfarce, os criminosos também incluíam um arquivo de imagem real que seria exibido caso o usuário tentasse visualizar o arquivo com um visualizador de imagens comum.
Como o malware era disfarçado?
A técnica usada é engenhosa. O arquivo, na verdade, era um executável (.exe) que carregava uma imagem legítima logo após ser aberto, mostrando ao usuário uma foto qualquer ou um GIF. Enquanto isso, em segundo plano, o código malicioso era executado. Esse truque dificulta a detecção por parte de softwares antivírus, já que o arquivo "parece" uma imagem inofensiva e exibe uma imagem real ao ser executado.
Orchid descreve o processo em seu relato:
Os repositórios continham um arquivo executável que se disfarçava como uma imagem PNG ou JPEG. O truque é que o arquivo realmente parecia uma imagem e exibia uma imagem real para o usuário quando executado.
Com esse padrão em mente, o pesquisador desenvolveu um script para automatizar a busca por outros repositórios com a mesma característica. Rapidamente, ele encontrou um número surpreendente: 10 mil repositórios, de diferentes contribuidores e com nomes variados, todos seguindo a mesma estrutura de distribuição de malware. esses não eram "forks" de outros repositórios, indicando uma criação independente para cada um.
A análise do código revelou que o malware era um trojan, um tipo de software malicioso que se esconde em programas legítimos. Uma vez executado, o trojan pode realizar diversas ações sem o consentimento do usuário, como roubar dados, instalar outros malwares ou abrir portas para acesso remoto ao sistema.
Os repositórios foram reportados ao GitHub, que iniciou uma investigação sobre o caso. A descoberta de Orchid serve como um alerta para a vigilância de desenvolvedores e usuários da plataforma, mostrando que a confiança em repositórios desconhecidos pode levar à infecção por malware.