SegInfo – Portal, Podcast e Evento sobre Segurança da Informação

Rede com mais de 200 repositórios no GitHub distribui malware para Windows

Uma campanha maliciosa utilizou mais de 200 repositórios no GitHub para distribuir diferentes tipos de malware direcionados a sistemas Windows, segundo análise publicada pela empresa de segurança de cadeia de suprimentos Socket.

Batizada de Operation Muck and Load, a operação envolve 222 repositórios de isca distribuídos por 190 contas. Esses projetos hospedavam um módulo desenvolvido em Go capaz de iniciar uma cadeia de infecção nos dispositivos das vítimas.

De acordo com a Socket, o módulo carrega código PowerShell responsável por buscar informações em serviços públicos utilizados como pontos de comunicação. A partir desses dados, são baixados e executados malwares como ferramentas de espionagem, trojans de acesso remoto, ladrões de informações e mineradores de criptomoedas.

Módulo simulava ferramenta legítima de análise de DNS

Para enganar os usuários, o módulo em Go se apresentava como uma ferramenta de varredura de DNS e subdomínios baseada no projeto legítimo de código aberto dnsub.

Desde 24 de janeiro de 2026, os responsáveis pela campanha publicaram mais de 1.200 versões do pacote. Aproximadamente 700 delas continham código malicioso.

Segundo os pesquisadores, o grande número de versões provavelmente não estava relacionado a um processo normal de desenvolvimento. A hipótese é que um fluxo automatizado do GitHub Actions estivesse criando repetidamente commits com marcações de tempo, que poderiam ser apresentados pelo Go como pseudoversões do módulo.

O código malicioso incluía um comando PowerShell executado antes mesmo das funcionalidades de varredura. Para dificultar sua identificação durante uma análise manual, o comando ficava oculto após uma grande quantidade de espaços horizontais.

Esse comando baixava e executava um novo script PowerShell por meio de uma técnica desenvolvida para contornar restrições da política de execução de scripts do Windows.

Infraestrutura distribuída aumenta resiliência da campanha

Na etapa seguinte, o script buscava informações criptografadas hospedadas em diferentes plataformas públicas. O conteúdo recuperado funcionava como um mecanismo de resolução, download, extração e execução dos payloads.

O processo incluía a localização de metadados criptografados, a descriptografia de uma URL, o download de um arquivo protegido por senha, a extração do conteúdo e a execução dos arquivos maliciosos.

Em vez de utilizar apenas um endereço fixo para hospedar os payloads, os responsáveis pela campanha distribuíam cópias das informações criptografadas em diferentes serviços públicos, aumentando a resiliência da operação contra bloqueios e remoções.

Entre as plataformas utilizadas estavam Pastebin, Rlim e infraestruturas associadas ao nome Muck. Também foram identificados endereços alternativos em serviços como YouTube, Instagram, Telegram, Google Docs e GitCode.

Esses serviços funcionavam como dead drops, locais públicos nos quais os atacantes armazenavam informações que permitiam ao malware encontrar os servidores ou arquivos utilizados nas etapas seguintes da infecção.

RATs, infostealers e mineradores foram distribuídos

Entre os payloads identificados ao final da cadeia de execução estavam os trojans de acesso remoto AsyncRAT, Quasar RAT e uma variante semelhante ao Remcos RAT, além de infostealers e ferramentas de espionagem.

Embora a maioria dos repositórios relacionados à Operation Muck and Load atuasse apenas como isca, alguns também distribuíam malware diretamente. Os arquivos maliciosos eram inseridos no código-fonte dos projetos ou disponibilizados por meio da seção de releases do GitHub.

Os pesquisadores identificaram pelo menos 14 arquivos de malware distintos nos repositórios analisados. Entre eles estavam loaders e downloaders de trojans, o infostealer Vidar, ferramentas de espionagem e payloads relacionados aos mineradores de Monero XMRig e BitMiner.

A Socket também identificou semelhanças entre a Operation Muck and Load e atividades anteriores associadas ao endereço de e-mail ischhfd83, que já havia sido relacionado a domínios com referências ao termo “Muck”.

O caso reforça os riscos relacionados ao uso de repositórios públicos e dependências de código aberto sem uma análise prévia. Desenvolvedores e organizações devem verificar a procedência dos pacotes, analisar scripts executados durante a instalação e monitorar comportamentos suspeitos em pipelines de desenvolvimento e ambientes Windows.

Para saber mais, clique aqui.

Sair da versão mobile