GitVenom: cómo GitHub se convirtió en un arma para difundir código malicioso
Cientos de repositorios están infectados con módulos ocultos para el robo de datos.
Investigadores en el ámbito de la ciberseguridad advierten sobre una gran campaña maliciosa dirigida contra jugadores y inversores en criptomonedas. Bajo la apariencia de proyectos de código abierto en la plataforma GitHub, los atacantes distribuyen software malicioso, robando datos personales y financieros de los usuarios. La campaña, denominada GitVenom, afecta a cientos de repositorios y ha estado activa durante al menos dos años.
Los atacantes camuflan el malware como herramientas para automatizar el trabajo con Instagram, bots para gestionar carteras de bitcoin a través de Telegram e incluso un programa para hackear el juego Valorant. Sin embargo, todas las funciones anunciadas son falsas: en su lugar, los usuarios infectan sus dispositivos con código malicioso que roba datos personales y sustituye las direcciones de criptocarteras copiadas en el portapapeles.
Según los datos de los investigadores de Kaspersky, los atacantes han logrado robar al menos 5 bitcoins, equivalentes a 456 600 dólares en el momento de la publicación. Las principales víctimas del ataque se han registrado en Rusia, Brasil y Turquía.
El código del software malicioso está escrito en varios lenguajes, incluidos Python, JavaScript, C, C++ y C#. Independientemente del lenguaje, su objetivo es el mismo: descargar y ejecutar software malicioso adicional desde repositorios de GitHub controlados por los atacantes. Entre los módulos más peligrosos se encuentra un infostealer basado en Node.js, que recopila contraseñas, datos de tarjetas bancarias, cuentas guardadas e historial del navegador, enviándolos posteriormente a los atacantes a través de Telegram.
También se ha detectado el uso de herramientas de administración remota como AsyncRAT y Quasar RAT, que permiten a los atacantes obtener control total sobre los dispositivos infectados. Además, en los proyectos distribuidos se ha identificado un clipper, un programa que reemplaza automáticamente las direcciones de billeteras copiadas por las credenciales de los estafadores, redirigiendo los fondos a sus cuentas.
Los expertos destacan que los atacantes utilizan activamente plataformas populares como GitHub para distribuir malware bajo la apariencia de herramientas legítimas. Se recomienda a los usuarios extremar la precaución al descargar código de repositorios abiertos, verificando cuidadosamente qué operaciones realiza el código antes de ejecutarlo.
Paralelamente, investigadores de Bitdefender han detectado otro esquema fraudulento dirigido a los participantes de torneos de deportes electrónicos. Los ciberdelincuentes hackean cuentas de YouTube y se hacen pasar por jugadores profesionales como s1mple, NiKo y donk para atraer a los fanáticos de Counter-Strike 2 a sorteos falsos de skins. Como resultado, los usuarios pierden el acceso a sus cuentas de Steam, activos en criptomonedas y valiosos objetos dentro del juego.
Las huellas digitales son tu debilidad, y los hackers lo saben