Una nueva investigación de la firma de ciberseguridad Kaspersky ha revelado que los hackers están creando cientos de proyectos falsos en GitHub con el objetivo de engañar a los usuarios y hacer que descarguen malware que roba criptomonedas y credenciales. En un informe del 24 de febrero, el analista de Kaspersky, Georgy Kucherin, explicó que esta campaña de malware, denominada ‘GitVenom’, ha resultado en la creación de numerosos repositorios en GitHub que albergan proyectos falsos que contienen troyanos de acceso remoto (RAT), ladrões de información y secuestradores del portapapeles.
Entre los proyectos falsificados se incluye un bot de Telegram que gestiona billeteras de Bitcoin y una herramienta para automatizar interacciones en Instagram. Kucherin señaló que los creadores del malware han tomado precauciones para darles un aspecto legítimo, incluyendo información bien diseñada y archivos de instrucciones que, al parecer, fueron generados utilizando herramientas de inteligencia artificial.
Además, los autores de estos proyectos maliciosos han inflado artificialmente el número de ‘commits’ o cambios realizados en el proyecto y agregado múltiples referencias a cambios específicos para dar la impresión de que el proyecto está siendo activamente mejorado. “Para lograr esto, colocaron un archivo de marca de tiempo en estos repositorios, que se actualizaba cada pocos minutos,” explicó Kucherin.
Sin embargo, las características discutidas en los archivos de instrucciones no se implementaron realmente, y Kaspersky descubrió que principalmente “realizaban acciones sin sentido”. Durante su investigación, la firma encontró varios proyectos falsos que datan de al menos dos años y especuló que el vector de infección probablemente es bastante eficiente, ya que los hackers han estado captando víctimas durante un tiempo considerable.
Independientemente de cómo se presente el proyecto falso, Kucherin enfatizó que todos contienen “cargas maliciosas” que descargan componentes como un ladrón de información que captura credenciales guardadas, datos de billeteras de criptomonedas e historial de navegación, para luego subirlos a los hackers a través de Telegram. Otro componente malicioso utiliza un secuestrador del portapapeles que busca direcciones de billeteras de criptomonedas y las reemplaza por otras controladas por los atacantes.
Kucherin mencionó que al menos un usuario fue víctima en noviembre, cuando una billetera controlada por un hacker recibió 5 Bitcoin, actualmente valorados en aproximadamente $442,000. La campaña de GitVenom ha sido observada a nivel mundial, pero se ha observado un enfoque elevado en infectar a usuarios de Rusia, Brasil y Turquía, según Kaspersky.
Kucherin sugirió que dada la popularidad de plataformas de compartir código como GitHub, que son utilizadas por millones de desarrolladores en todo el mundo, los actores de amenaza seguirán utilizando software falso como cebo para infecciones. Se destacó la importancia de verificar qué acciones realiza cualquier código de terceros antes de proceder a su descarga. También se espera que los atacantes continúen publicando proyectos maliciosos, posiblemente con “cambios pequeños” en sus tácticas y técnicas de ejecución.
