GitHub, una plataforma esencial para millones de desarrolladores, se ha convertido en un nuevo campo de juego para los ciberdelincuentes. Un reciente informe de Cisco Talos ha revelado una sofisticada campaña que utiliza GitHub para distribuir malware, aprovechando la popularidad y la confianza depositada en la plataforma.
Malware Oculto a Plena Vista
El informe de Cisco Talos detalla cómo los atacantes están utilizando GitHub para alojar y distribuir malware, aprovechando la percepción de la plataforma como un entorno seguro y legítimo. Según los investigadores, “en muchos entornos, una descarga maliciosa desde GitHub puede parecer tráfico normal”, lo que facilita la evasión de la detección por parte de los sistemas de seguridad.
La campaña, que ha estado activa desde febrero de 2025, se basa en el modelo de Malware-as-a-Service (MaaS), donde las herramientas de ataque se venden como servicios en la nube. Los operadores de esta campaña utilizan GitHub para distribuir malware a través de enlaces aparentemente inofensivos.
El Proceso de Infección: Una Capa Sobre Otra
El proceso de infección comienza con Emmenhtal, un loader diseñado para actuar por capas, ocultando el código malicioso. Después de varias capas de ofuscación, se ejecuta un script en PowerShell que se conecta a una dirección remota para descargar la carga útil real.
Esta carga útil suele ser Amadey, un malware conocido desde 2018 en foros de habla rusa. Amadey recopila información del sistema infectado y descarga archivos adicionales según el perfil del equipo. Lo más preocupante es que estos archivos se alojan en repositorios públicos de GitHub, lo que dificulta su detección como contenido malicioso.
Cuentas Falsas y Repositorios Maliciosos
Los atacantes crean cuentas con nombres aleatorios y repositorios de apariencia inofensiva para alojar el malware. Una de las cuentas identificadas, Legendary99999, contenía más de 160 repositorios con nombres aleatorios, cada uno alojando un único archivo malicioso en su sección de Releases. Desde allí, los atacantes envían enlaces directos a las víctimas, simulando descargas legítimas.
Además de Legendary99999, Talos identificó otras cuentas como Milidmdds y DFfe9ewf que seguían patrones similares. Estas cuentas alojaban diversas muestras de malware, incluyendo Rhadamanthys, Lumma, Redline, e incluso herramientas legítimas como PuTTY y Selenium WebDriver.
Una vez infectado el equipo, Amadey descarga el archivo necesario desde GitHub, adaptándose a las necesidades de cada operador. Esta flexibilidad permite a los atacantes distribuir desde troyanos de acceso remoto como AsyncRAT hasta scripts disfrazados de archivos MP4 o código Python con funciones ocultas.
La Respuesta de GitHub y las Implicaciones
Tras ser notificado por Talos, GitHub actuó rápidamente y eliminó las cuentas maliciosas. Sin embargo, el problema subyacente persiste: la estrategia de utilizar servicios legítimos para ocultar actividades maliciosas es una tendencia creciente en el mundo de la ciberseguridad.
Conclusión
Este incidente subraya la importancia de la vigilancia constante y la necesidad de implementar medidas de seguridad robustas, incluso al utilizar plataformas de confianza como GitHub. La capacidad de los atacantes para camuflar malware en entornos legítimos representa un desafío significativo para la detección y prevención de amenazas.
Fuente: Xataka
Leave a Comment