Uma nova campanha maliciosa tem utilizado a plataforma de hospedagem de código GitHub para distribuir o malware WebRAT, disfarçado como supostos projetos legítimos de segurança cibernética. A ameaça tem como alvo pesquisadores, desenvolvedores e curiosos da área de tecnologia, que baixam repositórios acreditando serem provas de conceito (PoCs) de vulnerabilidades reais.
O WebRAT é um trojan de acesso remoto (RAT) com funções de roubo de dados, captura de tela, exfiltração de credenciais e controle do sistema infectado. Antes restrito a distribuições por jogos piratas e ferramentas ilegais, o malware passou a circular em repositórios falsos que imitam ferramentas legítimas de exploração. Segundo análise da empresa Kaspersky, os cibercriminosos publicaram diversos repositórios no GitHub com nomes e descrições atrativos, geralmente vinculados a falhas populares com altos índices de gravidade (CVSS).
Esses repositórios incluem instruções técnicas falsas e arquivos compactados que, ao serem extraídos e executados, instalam o WebRAT na máquina da vítima. Os arquivos disponibilizados vêm protegidos por senha, e o nome da senha costuma estar escondido nas instruções do repositório. Ao executar o conteúdo, o sistema é infectado por um dropper que instala o malware, desativa defesas como o Windows Defender e busca persistência silenciosa no ambiente.
O WebRAT pode roubar credenciais de aplicativos populares como Discord, Telegram, Steam e navegadores, além de acessar carteiras de criptomoedas e arquivos sensíveis. Ele também permite que o atacante execute comandos remotos e realize capturas da tela do usuário. Embora o GitHub já tenha removido os repositórios maliciosos identificados, os especialistas alertam que o número de clones ou variantes ainda em circulação pode ser significativo, e novas publicações semelhantes devem surgir rapidamente.
