sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Campo de futebol da Lagoa tem gramado sintético danificado e gera reclamações
8 de julho de 2026
OpenAI fará lançamento global do modelo GPT-5.6 nesta quinta (9)
8 de julho de 2026
Xbox Game Pass deveria ter 70 milhões de assinantes em 2026, mas tem apenas 30 milhões
8 de julho de 2026
Anthropic leva Claude Cowork para celular e navegador; saiba como funciona
8 de julho de 2026
quarta-feira, julho 8, 2026
Top Posts
Campo de futebol da Lagoa tem gramado sintético...
OpenAI fará lançamento global do modelo GPT-5.6 nesta...
Xbox Game Pass deveria ter 70 milhões de...
Anthropic leva Claude Cowork para celular e navegador;...
Colisão entre duas motocicletas deixa um ferido grave...
Emmy 2026: Lista de indicados da premiação é...
Toyota SW4 supera GWM Haval H9 e mantém...
Vazou tudo: Galaxy Z Fold 8, Ultra, Flip...
Inscrições para Festival Popular de Teatro de Fortaleza...
iPhone 18 Pro deve ser um pouco mais...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Campo de futebol da Lagoa tem gramado sintético danificado e gera reclamações
8 de julho de 2026
OpenAI fará lançamento global do modelo GPT-5.6 nesta quinta (9)
8 de julho de 2026
Xbox Game Pass deveria ter 70 milhões de assinantes em 2026, mas tem apenas 30 milhões
8 de julho de 2026
Anthropic leva Claude Cowork para celular e navegador; saiba como funciona
8 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Campo de futebol da Lagoa tem gramado sintético danificado e gera reclamações
8 de julho de 2026
OpenAI fará lançamento global do modelo GPT-5.6 nesta quinta (9)
8 de julho de 2026
Xbox Game Pass deveria ter 70 milhões de assinantes em 2026, mas tem apenas 30 milhões
8 de julho de 2026
Anthropic leva Claude Cowork para celular e navegador; saiba como funciona
8 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Hackers usam GitHub como centro de controle para espionar empresas

por SampaNews 8 de abril de 2026
8 de abril de 2026
27

Pesquisadores da FortiGuard Labs identificaram uma campanha de espionagem cibernética direcionada a empresas na Coreia do Sul. Os criminosos abusam da API do GitHub como infraestrutura de comando e controle (C2). De acordo com a investigação, os ataques são responsabilidade de criminosos norte-coreanos.

Os ataques usam arquivos LNK para disparar uma cadeia de infecção em três estágios. Com isso, eles mantêm acesso persistente a sistemas comprometidos sem depender de servidores próprios.

smart_display

Nossos vídeos em destaque

Arquivo LNK disfarçado de documento

O vetor inicial é um arquivo .LNK entregue provavelmente via phishing. Arquivos LNK são atalhos do Windows. O problema é que eles podem carregar argumentos que executam qualquer comando no sistema, e o atacante explora esse comportamento para iniciar a infecção de forma silenciosa.

PDFs ligados à atividade corporativa das empresas era principal isca para vítimas. Imagem: Fortinet.

O arquivo se apresenta como um documento corporativo legítimo, com títulos alinhados a temas relevantes para as empresas-alvo. Quando a vítima clica, o atalho executa uma função de decodificação embutida nos próprios argumentos.

Essa função extrai dois componentes. Eles são um PDF falso, aberto visivelmente para não levantar suspeitas, e um script PowerShell rodando em segundo plano sem janela visível.

Versões anteriores desses arquivos, rastreáveis desde 2024, continham metadados identificadores. O campo “Name” recebia o valor “Hangul Document”, padrão associado a grupos norte-coreanos como Kimsuky, APT37 e Lazarus. Nas versões mais recentes, esses metadados foram removidos, indicando que o atacante está refinando suas técnicas de evasão ativamente.

DPRK (1).png
Trecho do código que continha o PowerShell malicioso. Imagem: Fortinet.

PowerShell verifica o ambiente antes de agir

O script PowerShell do segundo estágio começa verificando se está sendo analisado. Ele varre os processos ativos em busca de ferramentas usadas por analistas de segurança.

A lista inclui ambientes de máquina virtual como VMware e VirtualBox, analisadores de tráfego como Wireshark e Fiddler. Além de debuggers como x64dbg e OllyDbg, e ferramentas forenses como Process Hacker e Procmon. Se qualquer um desses processos for detectado, o script encerra imediatamente.

Confirmado que o ambiente é de uma vítima real, o script instala persistência. Ele cria um arquivo VBScript configurado para executar o payload em janela oculta. Depois, registra uma tarefa agendada com nome disfarçado, “Technical Paper for Creata Chain Task…”, para rodar a cada 30 minutos mesmo após reinicializações.

DPRK (2).png
Outro exemplo de PDF que fazia parte do cotidiano das empresas, e foi usado na exlporação do golpe. Imagem: Fortinet.

Em seguida, coleta informações do sistema comprometido. Versão do sistema operacional, tempo desde o último boot e lista de processos ativos são salvos em um arquivo de log e exfiltrados para um repositório privado no GitHub via API. A autenticação é feita com um token de acesso hardcoded diretamente no código.

O repositório identificado pertence à conta motoralis. Outras contas associadas à mesma infraestrutura incluem God0808RAMA, Pigresy80, entire73, pandora0009 e brandonleeodd93-blip. A análise mostrou uma gestão estratégica dessas contas.

Isso porque algumas permanecem dormentes por meses enquanto outras são ativadas recentemente para oferecer redundância operacional. Essa é uma prática comum em grupos com recursos e planejamento de longo prazo.

DPRK (3).png
Mapa do golpe, tudo começa com o arquivo .LNK e pode passar por 3 caminhos, na intenção de atingir o maior número de vítimas. Imagem: Fortinet.

Terceiro estágio mantém conexão contínua com o atacante

O script final funciona basicamente como um agente de checagem permanente. A cada 30 minutos, via a tarefa agendada criada anteriormente, ele busca novos módulos ou instruções no repositório GitHub do atacante.

Um script adicional de keep-alive coleta a configuração de rede da máquina comprometida e faz upload para o GitHub. Com isso, ele fica gerando logs em tempo real com data, hora e endereço IP da vítima. Isso porque manter esse fluxo ativo permite ao atacante monitorar o status da máquina e enviar novos comandos ou ferramentas sem nunca abrir uma conexão direta com a vítima, o que tornaria a atividade mais fácil de detectar.

Por que o GitHub é um C2 difícil de bloquear

O abuso do GitHub como canal de comando e controle é o elemento central da campanha. Todo o tráfego malicioso transita por HTTPS para domínios legítimos como api.github.com e raw.githubusercontent.com. Essa técnica torna a atividade criminosa indistinguível do uso normal da plataforma por desenvolvedores.

espiões-norte-coreanos.png
Grupos norte-coreanos estão sendo associados ao ataque tanto pela seleção das vítimas quanto pelo uso do malware específico da região.

O GitHub é frequentemente liberado em firewalls corporativos e tem alta reputação em sistemas de filtragem de URLs. Então a comunicação com o C2 passa despercebida pela maioria das soluções de segurança convencionais.

Ao operar exclusivamente em repositórios privados, o atacante mantém payloads e logs exfiltrados completamente ocultos. 

Indicadores apontam para grupos norte-coreanos

A FortiGuard Labs não fez atribuição formal, mas os indicadores são consistentes com grupos norte-coreanos. O padrão de nomenclatura “Hangul Document” em versões anteriores dos arquivos LNK é uma assinatura documentada de Kimsuky, APT37 e Lazarus.

lazarus-group-rouba-dados-em-entrevista-de-emprego-falsa
Os criminosos estão basicamente usando a reputação do domínio como escudo contra bloqueios.

O alvo geográfico exclusivo em empresas sul-coreanas, e o uso do XenoRAT, malware observado em campanhas atribuídas à Coreia do Norte, reforçam essa avaliação. A campanha segue uma tendência crescente entre grupos de espionagem patrocinados por estados.

Acompanhe o TecMundo para saber mais sobre o caso. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Presidente do Irã condena rompimento de cessar-fogo com ataque a ilhas do país
próxima postagem
Moraes libera para julgamento ação do PT que busca restringir delações premiadas

Você também pode gostar

OpenAI fará lançamento global do modelo GPT-5.6 nesta...

8 de julho de 2026

Xbox Game Pass deveria ter 70 milhões de...

8 de julho de 2026

Anthropic leva Claude Cowork para celular e navegador;...

8 de julho de 2026

Emmy 2026: Lista de indicados da premiação é...

8 de julho de 2026

POSTS MAIS RECENTES

  • Campo de futebol da Lagoa tem gramado sintético danificado e gera reclamações
  • OpenAI fará lançamento global do modelo GPT-5.6 nesta quinta (9)
  • Xbox Game Pass deveria ter 70 milhões de assinantes em 2026, mas tem apenas 30 milhões
  • Anthropic leva Claude Cowork para celular e navegador; saiba como funciona
  • Colisão entre duas motocicletas deixa um ferido grave em Bragança Paulista

Siga-nos

  • Recente
  • Popular
  • Campo de futebol da Lagoa tem gramado sintético danificado e gera reclamações

    8 de julho de 2026
  • OpenAI fará lançamento global do modelo GPT-5.6 nesta quinta (9)

    8 de julho de 2026
  • Xbox Game Pass deveria ter 70 milhões de assinantes em 2026, mas tem apenas 30 milhões

    8 de julho de 2026
  • Anthropic leva Claude Cowork para celular e navegador; saiba como funciona

    8 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Emmy 2026: Lista de indicados da premiação é...

8 de julho de 2026

Toyota SW4 supera GWM Haval H9 e mantém...

8 de julho de 2026

Vazou tudo: Galaxy Z Fold 8, Ultra, Flip...

8 de julho de 2026

Inscrições para Festival Popular de Teatro de Fortaleza...

8 de julho de 2026

iPhone 18 Pro deve ser um pouco mais...

8 de julho de 2026

Leitura obrigatória

  • Campo de futebol da Lagoa tem gramado sintético danificado e gera reclamações

    8 de julho de 2026
  • OpenAI fará lançamento global do modelo GPT-5.6 nesta quinta (9)

    8 de julho de 2026
  • Xbox Game Pass deveria ter 70 milhões de assinantes em 2026, mas tem apenas 30 milhões

    8 de julho de 2026
  • Anthropic leva Claude Cowork para celular e navegador; saiba como funciona

    8 de julho de 2026
  • Colisão entre duas motocicletas deixa um ferido grave em Bragança Paulista

    8 de julho de 2026

Newsletter

Posts relacionados

  • OpenAI fará lançamento global do modelo GPT-5.6 nesta quinta (9)

    8 de julho de 2026
  • Xbox Game Pass deveria ter 70 milhões de assinantes em 2026, mas tem apenas 30 milhões

    8 de julho de 2026
  • Anthropic leva Claude Cowork para celular e navegador; saiba como funciona

    8 de julho de 2026
  • Emmy 2026: Lista de indicados da premiação é divulgada

    8 de julho de 2026
  • Vazou tudo: Galaxy Z Fold 8, Ultra, Flip e relógios aparecem em renders

    8 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
9 melhores filmes e séries para assistir na Netflix em julho
1 de julho de 2026
WhatsApp libera reserva de nome de usuário; veja como esconder o número
1 de julho de 2026

Postagens Aleatórias

8 filmes com estética “liminal space” para fãs de Backrooms
14 de junho de 2026
Vacinação nas escolas segue até dia 30 e meta é imunizar 27 milhões
25 de abril de 2026
Novo Audi Q7 tem suspensão com GPS e projeta setas no chão
9 de junho de 2026

Categorias Populares

  • Tecnologia (6.007)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.078)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.120)
  • Bragança Paulista (1.091)
  • Esporte (792)
  • Saúde (491)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home