Analistas da GRAPH identificaram uma campanha de supply‑chain sofisticada, denominada RU‑APT‑ChainReaver‑L, que comprometeu serviços de mirror e contas do GitHub para distribuir infostealers em Windows, macOS e iOS.
Panorama da campanha
Os pesquisadores traçaram a operação a partir de um grande volume de credenciais encontradas em mercados clandestinos. A infraestrutura mapeada inclui mais de 100 domínios — entre servidores de comando e controle, páginas de infeção e intermediários de redirecionamento — e abuso de serviços de armazenamento legítimos (MediaFire, Dropbox) para hospedar arquivos maliciosos.
Vetores por plataforma
- Windows: vítimas são redirecionadas para serviços de cloud onde arquivos compactados com senha contêm binários assinados digitalmente; o malware age como infostealer, coletando capturas de tela, credenciais de navegadores, carteiras de criptomoedas, bases de mensagens e copiando documentos.
- macOS: páginas de engenharia social do tipo “ClickFix” induzem usuários a executar comandos no Terminal que instalam o MacSync Stealer; o agente opera em memória (fileless), coletando dados de navegadores, carteiras Ledger/Trezor, chaves SSH e credenciais AWS.
- iOS: vítimas são encaminhadas a aplicativos de VPN fraudulentos na App Store que servem como vetor inicial para ataques de phishing direcionados.
Uso indevido do GitHub e escala
GRAPH reporta comprometimento de cerca de 50 contas GitHub, muitas com histórico antigo, que passaram a hospedar repositórios com software pirata e “cracks” contendo carregadores maliciosos. A reutilização de contas estabelecidas dificulta a identificação imediata pelos times de segurança e aumenta a legitimidade aparente dos arquivos distribuídos.
Técnicas de evasão
Os operadores empregam cadeias de redirecionamento elaboradas, uso de certificados válidos para assinatura de código e atualizações frequentes na infraestrutura e nas assinaturas de malware para contornar soluções antivírus tradicionais. A distribuição via serviços de armazenamento legítimos reduz a chance de bloqueio por listas de domínios maliciosos.
Impacto e recomendações
O alcance multiplataforma e a sofisticação da campanha ampliam o risco para organizações e usuários finais. GRAPH recomenda medidas práticas:
- Bloquear ou inspecionar downloads oriundos de serviços de mirror; priorizar análise automatizada de arquivos baixados (sandboxing dinâmico).
- Implementar EDR/EDR-like que detecte comportamento anômalo pós‑execução (exfiltração de arquivos, captura de telas, acesso a wallets e chaves).
- Educação dos usuários para evitar downloads de software pirata e execuções de comandos por instruções de páginas não confiáveis.
- Monitorar e revisar contas de terceiros (GitHub) associadas a projetos internos e dependências, além de aplicar policies de verificação de integridade em builds.
Limitações e transparência
A análise da GRAPH descreve infraestrutura, técnicas e amostras observadas, mas não divulga um número exato de vítimas nem uma lista completa de domínios afetados no corpo da matéria. Detalhes adicionais constam no relatório técnico disponibilizado pelos pesquisadores, citado pela matéria do Cyber Security News.
Fonte: GRAPH (relatado por Cyber Security News)