Repositorios falsos de GitHub distribuyen malware BoryptGrab

Iniciado por Dragora, Hoy a las 12:16:30 PM

Tema anterior - Siguiente tema

0 Miembros y 11 Visitantes están viendo este tema.


Una nueva campaña de cibercrimen ha puesto nuevamente a GitHub en el centro de atención tras descubrirse cientos de repositorios falsificados diseñados para distribuir malware ladrón de información (InfoStealer). Los ciberdelincuentes han creado proyectos que aparentan ser software legítimo, herramientas de seguridad, aplicaciones financieras y utilidades ampliamente utilizadas con el objetivo de engañar a desarrolladores, administradores de sistemas y usuarios finales para que descarguen archivos maliciosos.

La investigación, realizada por Arctic Wolf, revela que los atacantes publicaron 292 repositorios fraudulentos, todos cuidadosamente diseñados para parecer auténticos y posicionarse en los resultados de búsqueda de GitHub y de motores de búsqueda externos. La campaña demuestra una evolución significativa en las tácticas de ingeniería social, aprovechando la confianza que millones de usuarios depositan en la plataforma de desarrollo más utilizada del mundo.

¿Cómo funciona la campaña de malware en GitHub?

Según los investigadores, la actividad maliciosa comenzó el 26 de junio de 2026, cuando los atacantes empezaron a publicar una gran cantidad de repositorios que imitaban productos tecnológicos reconocidos.

Entre los proyectos suplantados se encontraban:

  • Herramientas de ciberseguridad.
  • Plataformas de criptomonedas.
  • Software financiero.
  • Utilidades para desarrolladores.
  • Aplicaciones para macOS.
  • Clientes de correo electrónico seguros.
  • Herramientas relacionadas con videojuegos.
  • Aplicaciones premium ampliamente utilizadas.

Cada repositorio incluía un archivo README aparentemente legítimo que describía el supuesto software e incorporaba un botón o enlace para descargar el programa.

Sin embargo, dicho enlace redirigía a una landing page maliciosa, especialmente diseñada para generar confianza en la víctima.

Páginas falsas con apariencia profesional

Uno de los aspectos más llamativos de la campaña es el nivel de profesionalismo utilizado para convencer a los usuarios.

Las páginas de descarga incorporaban elementos como:

  • Botones con mensajes como "Descargar contenido seguro".
  • Sellos e insignias falsas de confianza.
  • Logotipos prácticamente idénticos a los originales.
  • Diseño limpio y convincente.
  • Nombres personalizados según el software suplantado.

Arctic Wolf descubrió que todas estas páginas utilizan una misma plantilla HTML y JavaScript reutilizable.

El código adapta automáticamente la apariencia dependiendo del repositorio desde donde llega el visitante, modificando dinámicamente:

  • El nombre del supuesto software.
  • El logotipo mostrado.
  • El texto visible.
  • El identificador utilizado para rastrear cada campaña.

Este nivel de automatización permitió a los atacantes mantener cientos de repositorios activos utilizando prácticamente la misma infraestructura.

Descarga de archivos ZIP que cambian constantemente

Cuando la víctima pulsa el botón de descarga, el servidor entrega un archivo ZIP cuyo contenido cambia aproximadamente cada minuto.

Esta técnica dificulta considerablemente la detección mediante soluciones antivirus tradicionales y sistemas automáticos de análisis.

Dentro del archivo comprimido se encuentran dos componentes principales:

  • Una biblioteca libcurl.dll modificada de forma maliciosa.
  • Una copia legítima y firmada del actualizador WinGUP (gup.exe).

Aunque WinGUP es un ejecutable completamente legítimo, los atacantes aprovechan una técnica conocida como DLL Side-Loading, mediante la cual el programa carga automáticamente la biblioteca maliciosa antes que la versión legítima.

DLL Side-Loading: una técnica difícil de detectar

El uso de DLL Side-Loading continúa siendo una de las técnicas favoritas de los ciberdelincuentes porque permite ejecutar código malicioso utilizando aplicaciones firmadas y confiables.

En este caso:

  • El usuario ejecuta el archivo aparentemente legítimo.
  • WinGUP carga automáticamente la biblioteca libcurl.dll.
  • La DLL maliciosa descifra un payload oculto.
  • El malware BoryptGrab se ejecuta completamente en memoria.
  • Comienza inmediatamente el robo de información.

Al ejecutarse principalmente en memoria, la amenaza reduce las probabilidades de ser detectada por soluciones tradicionales de seguridad.

¿Qué información roba BoryptGrab?

El malware identificado por Arctic Wolf pertenece a una variante de la familia BoryptGrab, especializada en el robo masivo de información confidencial.

Entre los datos comprometidos se encuentran:

Credenciales de navegadores

El malware extrae información almacenada en más de 19 navegadores web, incluyendo:

  • Contraseñas guardadas.
  • Cookies de autenticación.
  • Historial.
  • Información de tarjetas de pago.
  • Datos de formularios.

Estas credenciales permiten a los atacantes secuestrar sesiones sin necesidad de conocer la contraseña original.

Monederos de criptomonedas

Uno de los principales objetivos son los activos digitales.

La campaña roba información perteneciente a 32 marcas distintas de billeteras de criptomonedas, incluyendo frases de recuperación, claves y archivos de configuración.

Aplicaciones de mensajería

Los investigadores también detectaron el robo de:

  • Sesiones activas de Telegram.
  • Tokens de Discord.
  • Tokens de autenticación de Steam.
  • Credenciales de la aplicación de mensajería Max, desarrollada por Meta.

Con esta información, los atacantes pueden secuestrar cuentas sin necesidad de superar mecanismos de autenticación adicionales.

Administrador de Credenciales de Windows

El malware también obtiene datos almacenados en el Windows Credential Manager, donde muchas aplicaciones guardan usuarios y contraseñas.

Archivos personales

Otro objetivo importante consiste en localizar documentos relacionados con activos financieros o información sensible.

Busca archivos cuyos nombres contengan términos como:

  • Password
  • Wallet
  • Recovery
  • Backup
  • Seed
  • Crypto
  • Passwords

Asimismo, recopila:

  • Capturas de pantalla.
  • Información completa del sistema.
  • Lista del software instalado.
  • Configuración del equipo.

Una nueva capacidad para atacar Google Chrome

Uno de los hallazgos más importantes del informe es una funcionalidad previamente desconocida en esta variante de BoryptGrab.

Los investigadores descubrieron que el malware es capaz de eludir el cifrado vinculado a las aplicaciones basadas en Google Chrome.

Para conseguirlo, realiza una inyección directa de código dentro del proceso del navegador, obteniendo acceso a información protegida que normalmente permanece cifrada.

Esta técnica representa una evolución significativa frente a versiones anteriores del malware y aumenta considerablemente el riesgo para los usuarios de navegadores basados en Chromium.

Exfiltración de datos hacia servidores en Rusia

Una vez recopilada toda la información, el malware comprime los datos robados y los envía a un servidor de Comando y Control (C2) ubicado en Rusia.

Curiosamente, Arctic Wolf destaca varias características poco habituales:

  • No instala mecanismos de persistencia.
  • No intenta permanecer oculto durante largos periodos.
  • Ejecuta el robo de información en una única sesión.
  • No elimina completamente las evidencias del ataque.

Además, el directorio temporal utilizado para almacenar los datos recopilados permanece en el sistema, facilitando futuras investigaciones forenses.

GitHub elimina gran parte de los repositorios maliciosos

Tras recibir la notificación de Arctic Wolf, GitHub eliminó una parte significativa de los repositorios utilizados en la campaña.

No obstante, durante la publicación del informe todavía permanecían activos varios redireccionadores alojados en GitHub Pages, lo que demuestra la rapidez con la que los atacantes pueden reconstruir su infraestructura utilizando cuentas nuevas y contenido automatizado.

Este incidente vuelve a poner de manifiesto los desafíos que enfrentan plataformas colaborativas como GitHub para detectar proyectos fraudulentos antes de que sean utilizados para distribuir malware.

¿Quién está detrás de la campaña?

Hasta el momento, Arctic Wolf no ha podido atribuir el ataque a un grupo de amenazas específico.

Sin embargo, diversos indicadores apuntan a que el operador:

  • Probablemente habla ruso.
  • Mantiene infraestructura alojada en Rusia.
  • Tiene motivaciones exclusivamente económicas.
  • Busca maximizar el número de infecciones mediante campañas masivas.

No existen evidencias que vinculen esta operación con grupos patrocinados por Estados.

Cómo protegerse de este tipo de ataques

Los investigadores advierten que el éxito de esta campaña depende casi por completo de la confianza que los usuarios depositan en descargas gratuitas procedentes de repositorios aparentemente legítimos.

Para reducir el riesgo de infección, se recomienda:

  • Descargar software únicamente desde sitios web oficiales y repositorios verificados.
  • Revisar el historial, número de colaboradores y antigüedad de los proyectos en GitHub antes de descargar cualquier archivo.
  • Desconfiar de repositorios recientemente creados que prometen versiones premium gratuitas o herramientas de pago sin licencia.
  • Mantener actualizado el software de seguridad y aplicar las reglas YARA e indicadores de compromiso (IoCs) publicados por Arctic Wolf para detectar variantes de BoryptGrab.
  • Supervisar conexiones salientes inusuales y analizar los archivos descargados con soluciones de seguridad antes de ejecutarlos.

En fin...

La campaña descubierta por Arctic Wolf demuestra que los ciberdelincuentes continúan perfeccionando sus estrategias de ingeniería social, aprovechando plataformas de confianza como GitHub para distribuir malware altamente especializado. La utilización de 292 repositorios falsos, páginas de descarga cuidadosamente diseñadas y técnicas avanzadas como el DLL Side-Loading y la ejecución completamente en memoria convierten a esta operación en una amenaza especialmente peligrosa para desarrolladores, profesionales de TI y usuarios de criptomonedas.

Más allá del malware en sí, este incidente evidencia que incluso las plataformas más confiables pueden ser utilizadas como vector de ataque cuando los usuarios descargan software sin verificar su autenticidad. Mantener una política de validación de repositorios, emplear herramientas de detección avanzadas y desconfiar de las "descargas gratuitas" de aplicaciones premium son medidas esenciales para evitar que campañas como esta comprometan credenciales, activos digitales e información crítica.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login