Trampas para Fortnite y Roblox resultaron ser virus: hallan cientos de archivos falsos en GitHub
La ofuscación del código se ha vuelto completamente indetectable
La extensa campaña maliciosa FakeGit utilizó GitHub durante más de un año como vitrina para archivos ZIP infectados, disfrazados de extensiones pirateadas, trampas para juegos, utilidades para desarrolladores y contenido para adultos. Según el autor del análisis con el seudónimo 'Kirk', desde marzo de 2025 los delincuentes publicaron al menos 600 archivos ZIP únicos a través de 47 o más cuentas, y a principios de marzo seguían activos por lo menos 25 perfiles.
Los archivos se hacían pasar por complementos para Jira, Asana, Todoist, Trello, Notion, Figma, Slack, Zoom y otros servicios, así como por herramientas para Roblox, Fortnite, Counter-Strike 2 y Valorant. En su interior había una cadena de carga basada en LuaJIT. Los repositorios se presentaban con descripciones generadas y todos los enlaces en el README apuntaban al mismo archivo. Se inducía a los usuarios a activar el modo desarrollador en Chrome y cargar la carpeta descomprimida como una extensión.
La carga útil final era el stealer StealC, que robaba datos de Chrome, Brave, Edge y Firefox, y además extraía información de Outlook, FoxMail, WinSCP y Steam. El malware recopilaba credenciales, archivos de cookies, historial, tokens, realizaba capturas de pantalla y podía descargar módulos adicionales mediante PowerShell y msiexec.
Los atacantes diseñaron el esquema de modo que no fuera necesario modificar los archivos ya distribuidos al cambiar los servidores de mando y control. El cargador solicitaba la dirección C2 actual a través de un contrato inteligente en la red Polygon y luego recibía bloques cifrados desde repositorios de GitHub utilizados como "dead drops". Las direcciones de la infraestructura cambiaban directamente mediante transacciones en la cadena de bloques. Según los cálculos del autor del informe, el contrato de la primera versión llegó a usar 50 valores de C2, y ambas versiones de los contratos siguen activas.
El análisis mostró también indicios de compromiso de cuentas ajenas de GitHub. Entre los perfiles donde junto a proyectos legítimos apareció un repositorio malicioso se mencionan MaybeDesxie7, ShifaIshfaque, Mahmudul-Riad, sherinshamr y SYS123232. Además, los mismos archivos ejecutables y módulos Lua se encontraban en archivos para señuelos completamente distintos, lo que apunta a un único operador.
Para marzo de este año, el atacante llevó el camuflaje hasta el punto en que parte de los componentes Lua actuales no eran detectados por los antivirus en VirusTotal. Durante la campaña, los investigadores contaron 16 generaciones de ofuscación. BitDefender marca los archivos como Gen:Heur.FakeGit.1, y ESET clasifica los componentes Lua en la familia Lua/Agent.