Operação HumanitarianBait explora confiança em repositórios de código
Uma nova campanha de ciberespionagem, batizada de HumanitarianBait por pesquisadores da Cyble Research and Intelligence Labs, está utilizando uma tática engenhosa para contornar defesas de segurança corporativas. A operação se destaca por hospedar seus payloads maliciosos no GitHub, uma plataforma amplamente considerada segura e confiável por ferramentas de monitoramento de rede e equipes de segurança. O ataque começa com um e-mail de phishing contendo um arquivo compactado RAR, que, ao ser aberto, revela um atalho do Windows (LNK) disfarçado como um formulário de solicitação de ajuda humanitária em russo.
Uma vez que a vítima executa o atalho, o processo de infecção ocorre silenciosamente em segundo plano, enquanto um documento convincente é exibido na tela para manter a suspeita baixa. A escolha do GitHub para hospedar o payload é deliberada: os arquivos de Release recebem muito menos escrutínio automatizado do que os repositórios principais, e as atualizações podem ser publicadas sem deixar um histórico de commit visível. Além disso, a mesma conta do GitHub hospeda arquivos legítimos, como instaladores de runtime Python e arquivos de configuração padrão, criando uma situação onde todos os downloads parecem atividade de desenvolvedor normal.
Técnica de implantação sem arquivos executáveis tradicionais
O malware implantado é baseado em Python e opera sem deixar um arquivo executável tradicional no sistema. Uma vez instalado, ele roda silenciosamente em segundo plano como uma plataforma de vigilância completa, coletando senhas de navegadores, cookies de sessão, registros de digitação, conteúdo da área de transferência, capturas de tela, dados de sessão do Telegram e arquivos sensíveis da máquina da vítima. O payload é protegido com PyArmor v9.2 Pro, uma ferramenta comercial de ofuscação que torna o código Python resistente à análise estática e à descompilação.
A cadeia de infecção é construída em etapas cuidadosas. Após a execução do arquivo LNK, o PowerShell lê conteúdo ofuscado embutido em um deslocamento específico dentro do arquivo de atalho e o executa diretamente na memória. Essa técnica anti-sandbox significa que o malware simplesmente não será executado se o arquivo original estiver ausente, fazendo com que pareça limpo durante a análise automatizada. O malware então cria um ambiente Python autocontido dentro da pasta AppData do usuário, um local que não requer acesso de administrador. Ele nomeia esse diretório WindowsHelper para imitar um componente legítimo do Windows.
Persistência e acesso remoto silencioso
Dois lançadores VBScript executam o payload silenciosamente, e uma Tarefa Agendada do Windows garante que o implante reinicie automaticamente a cada poucos minutos, mesmo após uma reinicialização. Além da coleta de dados, o implante pode baixar e instalar silenciosamente o RustDesk ou o AnyDesk, dando ao atacante acesso remoto ao desktop em tempo real sem que nenhuma janela visível apareça na tela. Todos os dados roubados são enviados para um servidor de comando e controle (C2) hospedado em um provedor de VPS comercial, que foi confirmado como ativo em maio de 2026.
A atribuição desta campanha permanece inconclusiva, embora os iscos em russo e o tema de ajuda humanitária sugiram fortemente que os alvos pretendidos são indivíduos de língua russa. A escolha de hospedar o payload no GitHub Releases é uma das escolhas mais deliberadas nesta campanha. Em vez de colocá-lo diretamente em um repositório do GitHub, onde scanners automatizados frequentemente procuram, o atacante enviou-o para a seção GitHub Releases de uma conta cuidadosamente mantida.
Indicadores de comprometimento e mitigação
Para reduzir a exposição, os usuários devem tratar arquivos compactados inesperados e anexos de atalho em e-mails com cautela. Habilitar extensões de arquivo no Windows, auditar tarefas agendadas regularmente e monitorar ferramentas de script executadas a partir de diretórios de espaço de usuário são todas etapas práticas que podem detectar esse tipo de ameaça cedo antes que ocorram danos significativos. Os indicadores de comprometimento (IoCs) incluem hashes SHA-256 específicos para o dropper inicial, o arquivo RAR malicioso e o módulo Python ofuscado.
As empresas devem considerar a implementação de políticas de segurança de endpoint que monitorem a execução de scripts Python a partir de diretórios de usuário não padrão, como AppData. Além disso, a revisão regular de tarefas agendadas e a verificação de conexões de rede para servidores C2 conhecidos são essenciais. A detecção de tráfego de saída para domínios de hospedagem de conteúdo legítimo, mas incomuns para o contexto da organização, também pode ser um sinal de alerta.
Implicações para a segurança de cadeia de suprimentos
Este ataque destaca a necessidade de tratar plataformas de desenvolvimento como potenciais vetores de ataque. O GitHub é frequentemente visto como um ambiente seguro, mas a confiança excessiva pode ser explorada por atacantes sofisticados. A ofuscação do código Python e o uso de ferramentas comerciais como PyArmor tornam a análise estática mais difícil, exigindo que as equipes de segurança adotem abordagens comportamentais e de monitoramento de rede mais avançadas. A capacidade do malware de se auto-atualizar e mudar hashes confirma que o atacante está ativamente mantendo a campanha, o que aumenta o risco de persistência a longo prazo.
O que os CISOs devem fazer agora
As organizações devem revisar imediatamente suas políticas de segurança de endpoint para incluir a detecção de execução de scripts Python a partir de diretórios de usuário. A auditoria de tarefas agendadas deve ser automatizada e monitorada em tempo real. Além disso, a implementação de soluções de detecção de ameaças baseadas em comportamento (EDR) que possam identificar injeção de shellcode e execução de PowerShell a partir de arquivos de atalho é crucial. A conscientização dos usuários sobre e-mails de phishing com iscos humanitários também deve ser reforçada, especialmente em organizações com funcionários que lidam com doações ou ajuda internacional.