Una campaña de malware sigilosa está secuestrando carteras de criptomonedas al insertar código malicioso en proyectos falsos de código abierto en Github, engañando a los desarrolladores para que ejecuten cargas útiles ocultas.
Hackers usan Github para robar criptomonedas—Malware oculto en el código abierto
Este artículo se publicó hace más de un año. Alguna información puede no estar actualizada.
ESCRITO POR
COMPARTIR
Malware Sigiloso en Github Está Secuestrando Carteras de Criptomonedas
Una campaña cibernética recientemente descubierta, conocida como Gitvenom, ha estado apuntando a usuarios de Github al incrustar código malicioso dentro de proyectos de código abierto que aparentan ser legítimos. Los investigadores de Kaspersky, Georgy Kucherin y Joao Godinho, identificaron la operación, que involucra a ciberdelincuentes creando repositorios fraudulentos que imitan herramientas de software real.
Los investigadores describieron:
Durante el transcurso de la campaña Gitvenom, los actores de la amenaza detrás de ella han creado cientos de repositorios en Github que contienen proyectos falsos con código malicioso, por ejemplo, un instrumento de automatización para interactuar con cuentas de Instagram, un bot de Telegram que permite gestionar carteras de bitcoins y una herramienta de hacking para el videojuego Valorant.
Los atacantes han realizado grandes esfuerzos para hacer que estos repositorios parezcan auténticos, utilizando archivos README.md generados por IA, agregando múltiples etiquetas y artificialmente inflando historiales de commits para mejorar la credibilidad.
El código malicioso está incrustado de manera diferente dependiendo del lenguaje de programación utilizado en los proyectos falsos. En los repositorios de Python, los atacantes ocultan la carga útil usando largas líneas de espacios en blanco seguidas de un comando de descifrado de scripts. En los proyectos basados en Javascript, esconden el malware dentro de una función que decodifica y ejecuta un script codificado en Base64. Para proyectos en C, C++ y C#, los atacantes colocan un script por lotes oculto en archivos de proyectos de Visual Studio, asegurándose de que el malware se ejecute cuando se construye el proyecto.
Una vez ejecutados, estos scripts descargan componentes maliciosos adicionales de un repositorio controlado por los atacantes en Github. Estos incluyen un ladrón basado en Node.js que extrae credenciales, datos de carteras de criptomonedas e historial de navegación antes de enviarlo a los atacantes a través de Telegram, así como herramientas de acceso remoto de código abierto como AsyncRAT y la puerta trasera Quasar. También se desplegó un secuestrador del portapapeles, reemplazando las direcciones de carteras de criptomonedas copiadas con otras controladas por los atacantes.
La campaña Gitvenom ha estado activa durante al menos dos años, con intentos de infección detectados en todo el mundo, particularmente en Rusia, Brasil y Turquía. Los investigadores de Kaspersky enfatizaron los crecientes riesgos de los repositorios maliciosos, advirtiendo:
Como plataformas para compartir código, como Github, son utilizadas por millones de desarrolladores en todo el mundo, los actores de la amenaza ciertamente continuarán usando software falso como señuelo de infección.
“Por esa razón, es crucial manejar con mucho cuidado el procesamiento de código de terceros. Antes de intentar ejecutar dicho código o integrarlo en un proyecto existente, es fundamental comprobar minuciosamente qué acciones realiza,” advirtieron. A medida que las plataformas de código abierto continúan siendo explotadas por ciberdelincuentes, los desarrolladores deben ejercer precaución para evitar que sus entornos sean comprometidos.
