Os utilizadores do GitHub estão a ser alvo de uma campanha de phishing em grande escala, que utiliza falsos convites para o prestigiado programa de aceleração de startups Y Combinator (YC) como isco. O objetivo final é enganar os programadores para que autorizem transações que esvaziam as suas carteiras de criptomoedas.
O ataque destaca-se pela forma engenhosa como abusa de uma funcionalidade legítima do GitHub para contornar filtros de spam e chegar diretamente à caixa de entrada das vítimas, tornando a fraude mais credível.
Um ataque que abusa da confiança no GitHub
Os atacantes exploraram o sistema de notificações da plataforma para disseminar a sua mensagem maliciosa. O método consiste em criar "issues" (tópicos de discussão) em vários repositórios e, de seguida, mencionar os nomes de utilizador das vítimas.
Quando uma conta é mencionada, o GitHub envia automaticamente uma notificação por email. Como o email provém de um endereço oficial do GitHub, passa despercebido pelos filtros de segurança e aparenta ser uma comunicação legítima, aumentando a probabilidade de o utilizador clicar. Segundo relatos de programadores partilhados em plataformas como o X (Twitter) e o Hacker News, alguns repositórios chegaram a ter mais de 500 "issues" fraudulentas abertas por uma única conta recém-criada.
O isco milionário e a armadilha no website falso
O isco utilizado na campanha era um convite para a candidatura ao programa Winter 2026 (W2026) da Y Combinator, prometendo um financiamento total de 15 milhões de dólares (cerca de 14 milhões de euros). O link fornecido no email levava as vítimas para uma página web fraudulenta.
O diabo, como sempre, está nos detalhes. O domínio do site falso era quase idêntico ao original, trocando subtilmente a letra "i" por um "l" minúsculo, uma tática comum para enganar os mais desatentos. Nesta página, era pedido aos utilizadores que verificassem a sua carteira digital, alegando usar um processo seguro através do EIP-712 e do Ethereum Attestation Service.
A mensagem no site afirmava que "os seus ativos permanecem completamente seguros", mas na realidade, ao assinar a verificação, o utilizador estava a autorizar transações maliciosas. Este método, conhecido como "crypto drainer", permite que os atacantes esvaziem todos os ativos digitais da carteira da vítima.
Comunidade em alerta e como se proteger
Após várias denúncias da comunidade ao GitHub, ao IC3 e ao Google Safe Browsing, os repositórios fraudulentos foram removidos. Ainda não se sabe ao certo quantos utilizadores foram afetados ou se houve perdas significativas de criptomoedas.
Para quem interagiu com o site malicioso, a recomendação é clara: mova imediatamente todos os seus ativos para uma carteira digital nova e segura, mesmo que não tenha notado nenhuma perda imediata.
É importante recordar que o portal oficial para as candidaturas ao ciclo Winter 2026 da Y Combinator está disponível no seu website legítimo. O prazo para as candidaturas termina a 10 de novembro, e o programa decorrerá em São Francisco entre janeiro e março do próximo ano. Este incidente serve como um alerta para todos os programadores: a vigilância é a melhor defesa contra o
malware e o phishing.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech
