A empresa de cibersegurança Kaspersky identificou uma nova estrutura de malware projetada especificamente para esvaziar carteiras de criptomoedas. O vetor de ataque baseia-se em engenharia social e aplicações trojanizadas hospedadas no GitHub.
A campanha, que a Kaspersky detalhou em um relatório publicado na sexta-feira, usa versões falsas de ferramentas de cripto legítimas. As vítimas são enganadas para baixar um código malicioso que se disfarça de bots de negociação, rastreadores de portfólio ou software de gerenciamento de carteiras.
Uma vez instalada, a estrutura pode interceptar dados da área de transferência – substituindo endereços de carteira copiados por outros controlados por invasores – e coletar chaves privadas armazenadas no dispositivo. A Kaspersky disse que o malware é modular, permitindo que seus operadores troquem os cargas sem reconstruir toda a cadeia de infecção.
"Esta não é uma simples operação de script kiddie", observou a equipe de pesquisa da Kaspersky no relatório. "A estrutura mostra um planejamento claro. Os invasores estão visando um público específico: pessoas que gerenciam ativamente criptoativos e se sentem confortáveis instalando ferramentas de código aberto."
O malware se espalha principalmente por meio de repositórios do GitHub que parecem legítimos. Alguns repositórios acumularam estrelas e forks, fazendo-os parecer confiáveis. Outros são promovidos por meio de grupos do Telegram e fóruns focados em criptomoedas.
O GitHub é um canal de distribuição popular para software de negociação de criptomoedas, desde integrações de agregadores DEX até bots de MEV. A dinâmica de confiança padrão da plataforma funciona a favor dos invasores – um repositório com confirmações recentes e documentação que parece responsiva pode enganar até mesmo usuários experientes.
A Kaspersky não nomeou repositórios específicos nem estimou o número total de vítimas. A empresa aconselhou os traders a verificar a identidade dos autores do software, checar assinaturas digitais e realizar operações de carteira em máquinas isoladas (air-gapped) quando possível.
Para os traders que dependem de ferramentas de terceiros, as implicações são diretas: um aplicativo comprometido pode esvaziar uma carteira em segundos. Não é necessário nenhum e-mail de phishing, nenhum site falso para verificar – o invasor já está dentro do fluxo de trabalho do usuário.
O design modular da estrutura sugere que variantes futuras poderiam visar a comunicação com carteiras de hardware ou explorar permissões de extensões de navegador. A Kaspersky disse que está rastreando o malware sob um codinome interno e espera que os operadores continuem a refinar o código.
Os investidores de criptomoedas devem tratar qualquer download do GitHub como um risco potencial. A abordagem mais segura: código aberto não significa seguro. Audite o código você mesmo, execute-o primeiro em uma sandbox ou use ferramentas conhecidas e auditadas de desenvolvedores estabelecidos.
Kaspersky encontra apps de cripto falsos no GitHub que esvaziam carteiras
A empresa de cibersegurança Kaspersky identificou um software malicioso distribuído através de versões falsas de bots de negociação de cripto, rastreadores de portfólio e ferramentas de carteira no GitHub. Uma vez instalado, ele pode substituir endereços de carteira copiados pelos dos invasores e roubar chaves privadas, colocando as criptomoedas das pessoas em risco.