292 repository github falsi boryptgrab infostealer

292 repository GitHub falsi diffondono BoryptGrab e rubano credenziali e wallet

🛡️ Executive Summary

  • Dal 26 giugno 2026 almeno 292 repository GitHub falsi impersonano software, fintech e società di sicurezza per distribuire BoryptGrab.
  • L’attacco usa WinGUP firmato e una libcurl.dll trojanizzata per eseguire in memoria un infostealer tramite DLL side-loading.
  • Il malware ruba credenziali browser, wallet, Telegram, Discord, Steam e file sensibili, inviandoli a un server russo senza creare persistenza.

Una campagna attiva dal 26 giugno 2026 ha utilizzato almeno 292 repository GitHub falsi per distribuire BoryptGrab, un infostealer Windows progettato per rubare credenziali, sessioni, wallet di criptovalute e documenti sensibili. I repository impersonano marchi noti del software, della sicurezza informatica, del fintech, del gaming e degli strumenti per sviluppatori, sfruttando risultati di ricerca ottimizzati e pagine GitHub apparentemente legittime. La catena di infezione non sfrutta vulnerabilità nei prodotti imitati: convince invece la vittima a scaricare un archivio ZIP contenente un eseguibile firmato e una DLL trojanizzata, attivando un payload che opera interamente in memoria.

Repository e pagine GitHub costruiscono una catena di fiducia falsa

Annuncio

L’attore ha creato account e organizzazioni usa-e-getta per pubblicare repository con descrizioni professionali, loghi, istruzioni e pulsanti di download che imitano il materiale promozionale dei marchi originali. Tra i casi individuati compare anche Arctic-Wolf-Security/.github, pagina pubblicata il 30 giugno per impersonare Arctic Wolf attraverso un falso checklist di onboarding per servizi di managed detection. Il pulsante “OFFICIAL PAGE” non conduceva al sito reale, ma a un dominio controllato dall’attaccante. GitHub ha rimosso rapidamente questa pagina dopo la segnalazione, ma il modello era già stato replicato su centinaia di repository.

image 409
292 repository GitHub falsi diffondono BoryptGrab e rubano credenziali e wallet 6

Circa 78 pagine .github.io risultavano ancora attive al momento dell’analisi e fungevano da redirect verso siti di distribuzione come targetroyena.com. La campagna riprende tecniche già osservate nell’ecosistema, dove repository GitHub falsi generati e promossi attraverso tecniche SEO trasformano la reputazione della piattaforma in uno strumento di social engineering. Un altro precedente diretto riguarda GitVenom e ACRStealer, distribuiti attraverso progetti falsi e codice apparentemente legittimo.

Il download cambia continuamente per ridurre il rilevamento statico

Le pagine malevole utilizzano un template centralizzato nel quale il nome e il branding del prodotto vengono caricati dinamicamente in base al percorso URL. Badge come “VirusTotal Approved” e “Secure Archive” simulano controlli di sicurezza mai eseguiti, mentre il pulsante di download richiama l’endpoint /download-archive includendo parametri come user_code e domain, utili per tracciare la provenienza della vittima. L’archivio distribuito pesa circa 136 MB e viene rigenerato approssimativamente ogni sessanta secondi con nome, struttura e campioni differenti.

image 410
292 repository GitHub falsi diffondono BoryptGrab e rubano credenziali e wallet 7

Questo meccanismo produce hash sempre nuovi e rende meno efficaci i sistemi basati esclusivamente su firme statiche o indicatori di file. L’archivio contiene un eseguibile WinGUP legittimo e firmato, rinominato per richiamare il prodotto cercato, una libreria libcurl.dll modificata e file di riempimento utilizzati per aumentare dimensioni e credibilità del pacchetto. Il comportamento conferma la continuità con la precedente campagna BoryptGrab basata su falsi repository, SEO poisoning e furto dei wallet, ma amplia notevolmente il numero dei marchi e dei repository coinvolti.

WinGUP carica la DLL trojanizzata attraverso side-loading

Quando l’utente esegue il file rinominato, il processo WinGUP cerca libcurl.dll nella stessa cartella e carica la versione fornita dall’attaccante anziché quella legittima. La tecnica di DLL side-loading sfrutta il comportamento normale di ricerca delle librerie di Windows e consente al codice malevolo di essere eseguito all’interno di un processo firmato. La DLL decodifica un blob incorporato usando una wordlist interna, ricostruisce un’immagine PE valida e la carica in memoria attraverso API COM e OLE. Il payload finale non viene scritto stabilmente sul disco, riducendo gli artefatti rilevabili dai controlli tradizionali. Il campione analizzato era compilato con componenti riconducibili a Visual Studio 2010 e 2022 e importava funzioni da WinHTTP, IP Helper API e altre librerie di sistema. La tecnica è particolarmente efficace perché il binario principale appare autentico, mentre la componente dannosa risiede nella DLL collocata accanto all’eseguibile. Un modello analogo è stato documentato nella campagna Trellix che abusava di ahost.exe per distribuire malware tramite DLL side-loading, confermando quanto i binari firmati possano diventare vettori quando caricano librerie da directory controllabili.

Undici moduli rubano browser, messaggistica, wallet e documenti

BoryptGrab esegue undici moduli in sequenza. Il primo crea un profilo completo del sistema con MachineGuid, lingua, memoria, sistema operativo, hostname, privilegi, indirizzo MAC del router, GPU, risoluzione e hash dello sfondo. Aggiunge la geolocalizzazione IP e registra ventuno campi in UserInformation.txt. Il secondo enumera le applicazioni installate, mentre il terzo prende di mira Chrome, Edge, Brave, Yandex, Vivaldi, Firefox, Opera e numerosi browser meno diffusi. Sui browser Chromium tenta di aggirare App-Bound Encryption v20 attraverso iniezione riflessiva nel processo del browser; sui prodotti Gecko utilizza le librerie NSS per leggere key4.db, logins.json e i profili locali. Il malware può terminare i browser quando i file risultano bloccati.

image 411
292 repository GitHub falsi diffondono BoryptGrab e rubano credenziali e wallet 8

I moduli successivi copiano la cartella tdata di Telegram, estraggono token Discord, recuperano credenziali Meta Max dal Credential Manager e analizzano la memoria di steamwebhelper.exe e steamservice.exe per individuare sessioni Steam. Questa focalizzazione su account personali e finanziari avvicina BoryptGrab alle famiglie analizzate nell’approfondimento su OXLOADER e CASTLESTEALER, entrambe costruite per monetizzare rapidamente credenziali e accessi.

Trentadue wallet e i file personali diventano obiettivi diretti

Il modulo dedicato alle criptovalute controlla 41 percorsi collegati a 32 wallet e applicazioni, tra cui Bitcoin Core, Ethereum, Electrum, Exodus, Ledger Live, Trezor Suite, Wasabi Wallet, Atomic, Binance, Coinomi, Guarda, Daedalus, Dogecoin, Litecoin Core, Dash Core e MyEtherWallet. Il malware non si limita quindi alle estensioni del browser, ma cerca database, configurazioni e file locali delle applicazioni desktop. Un ulteriore componente analizza Desktop e Documenti alla ricerca di file .txt, .env, .csv, .xlsx, .docx, .png, .jpg e altri formati contenenti parole come password, seed, keys, wallet, backup e recovery. I documenti vengono copiati nella cartella Filegraber, mentre un altro modulo cattura uno screenshot del display principale e l’ultimo interroga il Credential Manager attraverso CredEnumerate. La struttura conferma una logica smash-and-grab: raccogliere il maggior numero possibile di dati nel minor tempo possibile, senza investire in persistenza o controllo prolungato. Una strategia simile caratterizza Arkanix Stealer, orientato a crypto e banking con esecuzione rapida.

L’esfiltrazione punta a un server russo senza installare persistenza

I dati vengono organizzati in una directory temporanea, compressi in un archivio ZIP e inviati tramite richiesta POST chunked al server 193.143.1.131, ospitato dal provider russo Proton66. Le intestazioni X-Filename e X-Size comunicano nome e dimensione del file, mentre il trasferimento avviene attraverso socket raw. BoryptGrab non crea servizi, task pianificati o chiavi Run e non scarica payload aggiuntivi: dopo l’esfiltrazione lascia però sul sistema la cartella temporanea con i dati raccolti. L’assenza di persistenza non riduce l’impatto, perché password, cookie, token, wallet e documenti vengono già compromessi durante la singola esecuzione. Per il rilevamento risultano rilevanti la presenza di WinGUP rinominato accanto a una libcurl.dll non coerente, caricamenti di DLL da directory di download, processi browser terminati improvvisamente, accessi anomali al Credential Manager e traffico verso l’indirizzo C2. Le organizzazioni devono bloccare i domini di distribuzione noti, analizzare proxy e DNS, isolare gli endpoint coinvolti e ruotare credenziali, sessioni e seed eventualmente esposti. Il caso dimostra che GitHub non deve essere considerato automaticamente una fonte affidabile: nome dell’organizzazione, numero di stelle, grafica professionale e presenza di un file README non sostituiscono la verifica dell’URL ufficiale, della cronologia dei commit e delle firme del software.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto