Um repositório malicioso no GitHub, disfarçado de fork legítimo do aplicativo macOS Triton, está sendo usado para distribuir malware direcionado a sistemas Windows. A campanha explora a confiança da comunidade de código aberto e a facilidade de forking no GitHub para enganar desenvolvedores e usuários.
O golpe e a descoberta
O repositório fraudulento, criado sob a conta "JaoAureliano", se apresentava como uma cópia do app Triton original, desenvolvido por Otávio C. para macOS. No entanto, em vez do software genuíno, o README do repositório continha links diretos para download de um arquivo ZIP malicioso chamado "Software_3.1.zip". O arquivo de 1.33 MB, armazenado dentro de um diretório de cores do Xcode, contém executáveis projetados para comprometer sistemas Windows—um detalhe irônico, já que o Triton é um aplicativo exclusivo para macOS.
O pesquisador de segurança Brennan identificou o repositório após discussões em um servidor IRC sobre atividades suspeitas de forking. A análise no VirusTotal do hash do arquivo (39b29c38c03868854fb972e7b18f22c2c76520cfb6edf46ba5a5618f74943eac) mostrou uma taxa de detecção de apenas 12 entre 66 motores antivírus no momento da descoberta.
Mecanismo de infecção e táticas de evasão
O malware emprega uma cadeia de execução em vários estágios. Ele começa extraindo um arquivo compactado usando o 7za.exe com a senha "infected". A carga útil utiliza LuaJIT para script e implementa técnicas de evasão sofisticadas, incluindo detecção de ambientes de depuração, timers de sono prolongados para burlar sandboxes e detecção de virtualização.
As comunicações de rede estabelecem canais de comando e controle (C2) disfarçados de tráfego do Microsoft Office, usando domínios como nexusrules.officeapps.live.com e svc.ha-teams.office.com. O malware também realiza descoberta de IP via ip-api.com e se comunica com polygon-rpc.com, possivelmente para operações baseadas em blockchain.
Após a execução, o malware realiza reconhecimento do sistema, verificando a presença de ambientes de desenvolvimento (Java, Python, .NET) e logs de software de segurança. Ele acessa chaves do Registro do Windows para coletar dados de configuração e estabelecer persistência, além de realizar operações de arquivo em diretórios do sistema para tentar escalonamento de privilégios.
Padrão preocupante e falta de resposta
A conta GitHub maliciosa exibia várias bandeiras vermelhas: histórico de commits esparso, gráfico de contribuições artificialmente inflado por scripts automatizados que criavam commits fictícios retroativos, e tópicos do repositório incomuns como "malware" e "deobfuscation". Apesar de múltiplos relatos à plataforma, o GitHub não havia removido a conta no momento da descoberta do pesquisador.
Este incidente reflete um padrão mais amplo de exploração do GitHub para distribuição de malware, onde atores de ameaças criam forks ou repositórios falsos de projetos populares para atingir desenvolvedores. A baixa taxa de detecção inicial do malware aumenta seu perigo potencial.
Recomendações de segurança
Organizações e desenvolvedores devem verificar cuidadosamente a autenticidade de repositórios antes de baixar arquivos, especialmente de forks. Equipes de segurança são aconselhadas a monitorar a rede e endpoints em busca do hash de arquivo e dos indicadores de domínio mencionados. A implementação de soluções de detecção de endpoint (EDR) e a educação dos usuários sobre os riscos de baixar software de fontes não verificadas são medidas críticas de defesa.