Golpe no GitHub promete doação em cripto e tenta roubar carteiras

Golpe no GitHub promete doação em cripto e tenta roubar carteiras
Imagem destaque: Pexels/NEOSiAM 2024+

Hackers estão usando o sistema de notificações do GitHub para aplicar golpes com supostas doações em cripto. 

Eles prometem apoio financeiro por meio de um falso programa chamado “GitHub × Gitcoin Developer Fund 2025”, mas tudo não passa de uma armadilha para roubar carteiras conectadas.

Quem recebe a mensagem é levado a clicar em um link que parece legítimo. 

A página imita a plataforma Gitcoin e pede para o usuário conectar sua carteira digital, como MetaMask ou Trust Wallet. 

Em seguida, a vítima precisa assinar uma mensagem ou até fazer um “depósito reembolsável” para receber os fundos.

📩 Técnica engana até usuários experientes

O golpe funciona porque os golpistas criam discussões públicas no GitHub e marcam centenas de pessoas em massa. Como isso gera notificações por e-mail vindas da própria plataforma, muita gente acredita que é oficial.

O link leva a um site com domínio falso (como github‑foundation.com) que copia visualmente a interface da Gitcoin. 

A página é toda desenhada para convencer o usuário a clicar e autorizar ações com a carteira, o que pode dar acesso direto aos fundos.

🔐 Como se proteger desse tipo de golpe

  1. Desconfie de promessas de dinheiro fácil, mesmo que pareçam vir de plataformas conhecidas
  2. Nunca conecte sua carteira em sites que você não buscou por conta própria
  3. Não assine mensagens ou faça depósitos se não souber exatamente o que está acontecendo
  4. Ative autenticação em dois fatores no GitHub e revise os apps autorizados periodicamente
  5. Se recebeu algo parecido, reporte imediatamente o site, o e-mail e a conta envolvida

💸 Por que fazem isso

Os alvos preferenciais dos golpistas são desenvolvedores com carteiras valiosas, conta verificada ou patrocínios. 

Mas eles aplicam o golpe em larga escala, marcando todo tipo de conta. Mesmo que poucos caiam, já é suficiente para lucrar.

O ataque usa engenharia social, spoofing de domínio e manipulação de notificações para parecer confiável. Depois que o usuário conecta a carteira, os golpistas tentam roubar fundos ou até usar as permissões para espalhar códigos maliciosos em repositórios.


Fique atento a mensagens com termos como “Gitcoin Developer Fund”, “refundable deposit”, “Gitcoin Passport” e links de sites parecidos com GitHub, mas com nome estranho.

O conteúdo original do alerta foi baseado no artigo “In Depth Look at GitHub Funding Phishing Scams: Profit Chain & Defense Strategies”, de Jimmy Song (22 de setembro de 2025).

📌 Leia também:

Immutable X (IMX) dispara 70%: veja o que está por trás dessa alta

Standard Chartered vê Ethereum mais atrativo que bitcoin

Circle leva USDC à Hyperliquid e investe no token HYPE

Fique por dentro das crutiosidades do mundo tech: entre no nosso canal no WhatsApp.

Acompanhe nas redes sociais:

Veja mais notícias:

Deixe seu comentário: