Uma nova técnica para enganar desenvolvedores foi detectada em um ataque à cadeia de suprimentos de código aberto. Nessa campanha recente, cibercriminosos manipularam a funcionalidade de pesquisa do GitHub e criaram repositórios meticulosamente projetados para distribuir malware.

Os invasores criaram repositórios maliciosos com nomes e tópicos populares, utilizando atualizações automáticas e estrelas falsas para aumentar suas classificações de pesquisa e enganar os usuários. O código malicioso geralmente fica escondido nos arquivos de projeto do Visual Studio para evitar detecção, sendo executado automaticamente durante a compilação do projeto.

Além disso, o malware foi configurado para modificar sua carga dependendo da localização da vítima, embora essa funcionalidade ainda não tenha sido ativada. A campanha recente envolveu um arquivo executável grande que compartilha semelhanças com o malware “Keyzetsu clipper”, visando carteiras de criptomoedas.

Os desenvolvedores são aconselhados a ter cuidado ao usar código de repositórios públicos e observar propriedades suspeitas, como altas frequências de commit e observadores de estrelas com contas criadas recentemente. Os invasores exploraram a funcionalidade de pesquisa do GitHub, criando repositórios com nomes e tópicos populares para atrair usuários desavisados. Eles utilizaram atualizações automáticas e estrelas falsas para aumentar artificialmente a visibilidade de seus repositórios.

O malware foi ocultado nos arquivos de projeto do Visual Studio para evitar detecção, sendo configurado para executar automaticamente durante o processo de compilação. A análise técnica revelou que o malware busca informações sobre a localização da vítima e baixa conteúdo malicioso correspondente.