A plataforma GitHub virou palco de um novo ataque envolvendo a distribuição de malwares. Na nova modalidade, cibercriminosos disfarçam uma ferramenta que rouba dados pessoais e acesso das vítimas em comentários aparentemente inocentes no serviço.
De acordo com o site BleepingComputer, o Lumma Stealer fica disfarçado em um link publicado em tópicos abertos por usuários com dúvidas ou relatando problemas. Os comentários dos invasores prometem uma falsa solução ou correção a partir de um programa executável baixado por um serviço de armazenamento de arquivos, normalmente o MediaFire ou um endereço encurtado via bit.ly.
A ajuda falsa no GitHub (Bleeping Computer / Andrey Brusnik)
O arquivo fix.zip é, na verdade, o malware de roubo de informações Lumma Stealer. Em pouco tempo, ele consegue se apropriar de cookies e credenciais de acesso de navegadores, ficando em posse até de informações bancárias das vítimas caso elas acessem sites dessas instituições.
Os dados coletados são enviados para um servidor mantido pelos responsáveis pela infecção. Eles podem ser usados pelos próprios invasores para aplicação de novos golpes ou então comercializados em fóruns.
Golpe já teria feito vítimas no GitHub
Segundo um engenheiro consultado pela reportagem cerca de 29 mil comentários com os endereços nocivos foram postados em cerca de três dias.
Ainda de acordo com o Bleeping Computer, a equipe do GitHub tem deletado esse tipo de comentário fraudulento. Pela quantidade publicada, porém, não se sabe se as ações tem sido suficientes para impedir totalmente o espalhamento dessa campanha.
Os arquivos da pasta baixada incluem o executável do malware
Em um subtópico no Reddit, um programador denunciou que viu vários desses comentários em seu repositório, enquanto outro usuário deu a entender que até pode ter feito o download do programa malicioso.