Banana Squad esconde malware para roubo de dados em repositórios falsos do GitHub

Pesquisadores do ReversingLabs descobriram recentemente um novo e preocupante método de ataque liderado por um grupo chamado Banana Squad. Este grupo, identificado pela primeira vez por pesquisadores da Checkmarx em outubro de 2023, é conhecido por seus métodos furtivos, cujo nome vem de um antigo endereço malicioso da internet, bananasquadru .

A equipe do ReversingLabs, incluindo o pesquisador principal de malware Robert Simmons, encontrou mais de 60 pastas de projetos falsas, chamadas repositórios, no GitHub . Essas pastas pareciam ferramentas reais de hacking de computador escritas em Python, mas, na verdade, estavam trojanizadas, o que significa que continham código malicioso oculto.

Em seus ataques anteriores, iniciados em abril de 2023, o Banana Squad disponibilizou centenas de pacotes de software maliciosos sob diversos nomes de usuário, observaram os pesquisadores em sua postagem de blog compartilhada com o Hackread.com. Esses programas foram projetados para computadores Windows e tinham como objetivo "roubar grandes quantidades de dados confidenciais", incluindo informações de computadores, aplicativos, navegadores da web e até mesmo carteiras de criptomoedas, redirecionando dinheiro.

Esses pacotes maliciosos foram baixados quase 75.000 vezes antes de serem encontrados e removidos. Mais recentemente, em novembro de 2024, um projeto malicioso do Banana Squad, encontrado em dieserbenniru , mostrou um novo truque. Eles usaram um recurso do GitHub que impede o encapsulamento de longas linhas de código.

Além disso, os invasores adicionaram muitos espaços para exibir o código malicioso na tela, tornando-o invisível para quem apenas olha para ele. Isso torna muito mais difícil detectar o perigo oculto. Contas de usuários falsas, muitas vezes com apenas um projeto listado, são comumente usadas pelo Banana Squad para hospedar esses repositórios nocivos.

Além das atividades específicas do Banana Squad, o aumento geral no risco de OSS aponta para problemas contínuos. Um novo relatório de 2025 da ReversingLabs mostra uma mudança no panorama da segurança do software de código aberto (OSS).

Embora o malware geral encontrado em repositórios OSS tenha caído significativamente em 2024 — uma redução de 70% em plataformas como npm, PyPI e RubyGems em comparação a 2023 — o risco para o desenvolvimento de software do OSS está, na verdade, crescendo.

Esses agentes de ameaças estão ficando mais inteligentes. Eles estão usando métodos de ataque mais ocultos e complexos, especialmente em plataformas como o GitHub, em vez de simplesmente enviar malware simples. Essa tendência positiva na redução de malware se deve, em parte, a melhores medidas de segurança, incluindo a autenticação de dois fatores obrigatória (2FA) e o Repositório de Pacotes Maliciosos do OpenSSF, lançado em 2023 .

Outros relatórios indicam problemas como o aumento de vazamentos secretos em 2024, quando dados confidenciais de login são expostos. Além disso, uma análise dos principais pacotes de software livre (OSS) revelou muitas falhas de segurança e deterioração de código – uma dependência de código antigo e sem manutenção. Isso significa que popularidade não significa segurança. A ameaça em evolução exige que todos que usam software de código aberto sejam mais vigilantes e utilizem ferramentas melhores para se protegerem de grupos como o Banana Squad e outras ameaças emergentes.