Cibersegurança

Rede de 200 repositórios do GitHub é usada para infecção por malware

Um agente de ameaça construiu uma rede de mais de 200 repositórios do GitHub que vinham distribuindo malware para Windows, segundo a provedora de proteção da cadeia de suprimentos Socket. Batizada de Operação Muck and Load, a campanha envolve 222 repositórios-isca em 190 contas que contêm um módulo Go projetado para disparar a cadeia de infecção. O módulo, explica a Socket, carrega um código PowerShell que consulta pontos públicos (dead drops) para obter um resolvedor e executar malware para Windows, como spywares, trojans baixadores, ladrões de informações (infostealers) e mineradores de criptomoedas...


Ionut Arghire Sábado - 11 de Julho de 2026 às 00:35
SecurityWeek

Um agente de ameaça construiu uma rede de mais de 200 repositórios do GitHub que vinham distribuindo malware para Windows, segundo a provedora de proteção da cadeia de suprimentos Socket.

Batizada de Operação Muck and Load, a campanha envolve 222 repositórios-isca distribuídos em 190 contas que contêm um módulo Go projetado para disparar a cadeia de infecção.

O módulo, explica a Socket, carrega um código PowerShell que consulta pontos públicos (dead drops) para obter um resolvedor e executar malware para Windows, como spywares, trojans baixadores, ladrões de informações (infostealers) e mineradores de criptomoedas.

Para enganar os usuários, o módulo Go se apresenta como uma ferramenta de varredura de DNS e subdomínios, construída com base no projeto legítimo de código aberto dnsub. Desde 24 de janeiro de 2026, o agente de ameaça publicou mais de 1.200 versões do pacote, sendo 700 delas maliciosas.

"A causa provável não é a engenharia de releases normal, mas sim o próprio fluxo de trabalho do GitHub Actions do agente de ameaça, que gera repetidamente commits com carimbo de data e hora que podem ser exibidos como pseudo-versões do Go", observa a Socket.

O módulo contém um comando PowerShell executado antes de qualquer lógica de varredura e fica oculto pelo uso excessivo de espaços em branco horizontais. Ele busca um script PowerShell executado de uma forma que contorna as restrições da política de execução de scripts.

Por sua vez, o script consulta, em pontos públicos (dead drops), um payload que atua como resolvedor, baixador, extrator e lançador. Ele localiza metadados criptografados do payload, descriptografa uma URL, recupera um arquivo protegido por senha, o extrai e executa seu conteúdo.

Em vez de usar uma única URL fixa de payload no código, o agente de ameaça por trás da Operação Muck and Load utiliza múltiplas plataformas públicas para hospedar material de resolvedor criptografado espelhado, garantindo resiliência operacional.

"As fontes públicas são os locais de dead drop embutidos no script, incluindo Pastebin, Rlim, infraestrutura com tema Muck e localizações de contingência em plataformas públicas como YouTube, Instagram, Telegram, Google Docs e GitCode", explica a Socket.

Os payloads implantados ao final da cadeia de execução incluem AsyncRAT, Quasar RAT, um RAT (Remote Access Trojan, trojan de acesso remoto) estilo Remcos, ladrões de informações e spywares.

Embora a maior parte dos repositórios associados à Operação Muck and Load tenha atuado como iscas, outros também distribuíram malware, seja embutido nas árvores de código-fonte ou por meio de ativos de release do GitHub.

"Identificamos pelo menos 14 arquivos únicos de malware confirmados nos repositórios de fluxo de trabalho do agente de ameaça analisados. O conjunto confirmado de payloads incluía loaders e downloaders de trojan, o infostealer Vidar, payloads do tipo dropper/spyware e mineradores de Monero relacionados a XMRig/BitMiner", observa a Socket.

A Operação Muck and Load, observa a empresa de cibersegurança, se sobrepõe a atividades previamente observadas e associadas ao endereço de e-mail 'ischhfd83', que também incluía domínios com o tema Muck.

Cibersegurança Malware GitHub

FONTE

SecurityWeek