(https://i.imgur.com/aV2Eo28.jpeg)
Investigadores de ciberseguridad han identificado una nueva y alarmante campaña maliciosa que aprovecha GitHub, una de las plataformas de desarrollo más populares del mundo, como vehículo de distribución de malware troyanizado. El grupo responsable, denominado Banana Squad por ReversingLabs, ha publicado al menos 67 repositorios maliciosos que se hacen pasar por herramientas legítimas de hacking en Python, pero que en realidad descargan y ejecutan cargas útiles peligrosas en los sistemas comprometidos.
Esta actividad representa una continuación de una ofensiva detectada en 2023, donde actores de amenazas abusaron del repositorio Python Package Index (PyPI) para distribuir paquetes maliciosos con funciones de robo de información. Aquella campaña logró más de 75,000 descargas antes de ser detectada, y tenía como blanco principal a usuarios de sistemas operativos Windows.
Repositorios falsos que infectan billeteras de criptomonedas y sistemas de desarrolloUn informe del Centro de Tormentas de Internet de SANS publicado en noviembre de 2024 ya advertía sobre una supuesta herramienta de "verificación de cuentas de Steam" alojada en GitHub, que contenía funciones encubiertas para descargar malware adicional en segundo plano. Este código malicioso fue diseñado para atacar específicamente a la billetera de criptomonedas Exodus, permitiendo el robo de datos confidenciales y su exfiltración a servidores controlados por los atacantes, como dieserbenni[.]ru.
El análisis posterior reveló que los ciberdelincuentes estaban utilizando nombres idénticos a proyectos legítimos, engañando así a desarrolladores y usuarios novatos. El objetivo: comprometer a quienes buscan herramientas como verificadores de cuentas de TikTok, limpiadores de Discord, trucos para Fortnite o comprobadores masivos de cuentas de PayPal. Todos los repositorios identificados ya han sido eliminados por GitHub.
GitHub: un vector creciente para la distribución de malwareLa plataforma de código abierto GitHub se ha convertido en un canal cada vez más explotado por actores maliciosos. A comienzos de esta semana, Trend Micro reportó 76 repositorios maliciosos adicionales, operados por el grupo denominado Water Curse, cuya finalidad es distribuir malware de múltiples etapas, incluyendo herramientas para el robo de credenciales, cookies de navegador y tokens de sesión, así como mantener acceso remoto persistente a los dispositivos afectados.
En paralelo, Check Point Research descubrió una red llamada Stargazers Ghost Network, un servicio criminal que emplea cuentas automatizadas de GitHub para propagar malware relacionado con juegos como Minecraft. Estas cuentas falsifican legitimidad al destacar, bifurcar y suscribirse entre sí, creando una falsa percepción de popularidad.
Citar"La red consta de múltiples cuentas que distribuyen enlaces maliciosos y realizan otras acciones para que los repositorios parezcan legítimos", señaló Check Point.
Además, se ha determinado que estas cuentas "Ghost" también operan en otras plataformas, como parte de una infraestructura más amplia basada en distribución como servicio (DaaS), lo que refuerza la sofisticación de esta campaña.
Repositorios de malware disfrazados: de trampas de juegos a criptomonedasLos repositorios troyanizados detectados están diseñados con precisión para parecer herramientas atractivas: desde generadores de claves, rastreadores de precios de criptomonedas, predictores de multiplicadores para juegos de apuestas, hasta herramientas de hacking amateur. El objetivo es atraer a usuarios inexpertos que, sin saberlo, descargan software comprometido con puertas traseras y malware sigiloso.
Un caso particularmente preocupante fue revelado por Sophos, que documentó un repositorio llamado Sakura-RAT, el cual infectaba a quienes compilaban su código, insertando ladrones de información y troyanos de acceso remoto como AsyncRAT, Remcos RAT y Lumma Stealer.
En total, Sophos detectó 133 repositorios troyanizados, de los cuales:
- 111 utilizaban puertas traseras incrustadas en eventos PreBuild de Visual Studio.
- El resto incorporaba código malicioso a través de scripts de Python, archivos .scr (protector de pantalla) y JavaScript.
Estas técnicas permiten capturar capturas de pantalla, exfiltrar datos a través de Telegram, y descargar nuevas cargas útiles sin que el usuario lo advierta.
Operación DaaS activa desde 2022Sophos también vinculó estas campañas con una operación activa desde agosto de 2022, especializada en distribución de malware como servicio (DaaS). Miles de cuentas de GitHub han sido utilizadas para crear una red descentralizada de entrega de código malicioso que apunta no solo a usuarios de juegos y entusiastas de la piratería informática, sino también a desarrolladores legítimos.
Aunque los métodos exactos de distribución aún están siendo investigados, se sospecha que Discord y YouTube también se están utilizando como canales de promoción de estos repositorios maliciosos, ampliando el alcance de la campaña.
"No está claro si esta campaña está directamente relacionada con las anteriores, pero su efectividad la hace probable de continuar bajo nuevas formas", advirtió Sophos. "En el futuro, podría expandirse a nuevos perfiles de víctimas más allá de ciberdelincuentes inexpertos y jugadores que usan trampas".
GitHub bajo amenaza como canal de distribución de malwareLa creciente explotación de GitHub como plataforma para distribuir malware subraya la importancia de aplicar rigurosas prácticas de seguridad en entornos de desarrollo. Esta campaña maliciosa pone en evidencia el potencial de daño que puede derivarse del uso imprudente de código fuente de fuentes no verificadas.
Para los desarrolladores, investigadores y usuarios interesados en herramientas de código abierto, es esencial verificar la legitimidad de cada repositorio, evaluar la reputación del autor y utilizar análisis automatizados de seguridad antes de ejecutar cualquier script o binario descargado.
La amenaza de los repositorios troyanizados y campañas DaaS no solo continúa, sino que se diversifica y refuerza con nuevas tácticas. Estar alerta es clave para protegerse en un panorama digital cada vez más complejo y hostil.
Fuente: https://thehackernews.com/