Kaspersky advierte sobre proyectos de GitHub infectados con malware: cómo los hackers están robando credenciales

La empresa de ciberseguridad Kaspersky ha advertido de que los ciberdelincuentes están explotando GitHub para propagar malware que roba credenciales a través de repositorios falsos.

La campaña, denominada “GitVenom”, consiste en que los atacantes crean proyectos aparentemente legítimos llenos de código malicioso que infecta los dispositivos de los usuarios al descargarlos.

Estos repositorios están diseñados para desarrolladores, usuarios de criptomonedas y empresas que dependen de software de código abierto.

La investigación de Kaspersky, publicada el 24 de febrero, destaca cómo los actores maliciosos manipulan la plataforma de GitHub para que sus repositorios parezcan creíbles.

Aprovechando la inteligencia artificial para generar documentación y actualizando las marcas de tiempo para sugerir un desarrollo activo, los hackers engañan a usuarios desprevenidos para que descarguen y ejecuten malware.

Los riesgos van más allá de los desarrolladores que buscan herramientas de código abierto.

El malware en estos repositorios incluye ladrones de información, troyanos de acceso remoto (RAT) y secuestradores del portapapeles, todos ellos destinados a extraer credenciales, wallets de criptomonedas y datos personales.

Con los ciberdelincuentes refinando continuamente sus tácticas, los usuarios de GitHub se enfrentan a una amenaza de ciberseguridad en constante evolución que se extiende a múltiples industrias.

Malware disfrazado de software

El informe de Kaspersky detalla cómo los hackers están utilizando tácticas engañosas para distribuir malware bajo la apariencia de herramientas útiles.

Muchos repositorios falsos afirman ofrecer software como bots de Telegram para gestionar carteras de Bitcoin o herramientas de automatización para plataformas de redes sociales como Instagram.

En realidad, estos proyectos sirven de fachada para distribuir malware diseñado para recopilar datos confidenciales.

Una vez instalado, el malware se activa y comienza a extraer credenciales de inicio de sesión, información de wallet de criptomonedas e historial de navegación.

Los datos robados se transmiten luego a los atacantes a través de Telegram, lo que les permite acceder a las cuentas y robar fondos de forma remota.

Los secuestradores del portapapeles aumentan aún más el riesgo al monitorizar las direcciones de billetera copiadas y reemplazarlas con direcciones controladas por el pirata informático, redirigiendo las transacciones a los ciberdelincuentes.

La investigación de Kaspersky descubrió que muchos de estos proyectos maliciosos han estado activos durante al menos dos años, lo que pone de relieve su eficacia para engañar a las víctimas.

La sofisticación de estos ataques sugiere que los ciberdelincuentes han identificado GitHub como un vector lucrativo para distribuir malware, y es probable que continúen perfeccionando sus técnicas.

Robos de criptomonedas vinculados a GitVenom

El impacto de la campaña GitVenom ha sido significativo, con piratas informáticos que han logrado desviar fondos de víctimas desprevenidas.

En un caso reportado en noviembre de 2024, una billetera controlada por un hacker recibió cinco Bitcoin, valorados en aproximadamente 442.000 dólares en ese momento.

Si bien los repositorios de GitHub infectados con malware se han descubierto en todo el mundo, Kaspersky señala que los usuarios de Rusia, Brasil y Turquía se han visto afectados de manera desproporcionada.

Dado el gran número de desarrolladores y empresas que dependen de GitHub para el desarrollo de software, estos ataques podrían intensificarse si no se adoptan medidas de seguridad proactivas.

El creciente uso de documentación generada por IA y registros de actualización engañosos sugiere que los actores de amenazas están evolucionando sus métodos para evitar la detección.

Los investigadores de seguridad advierten que, a menos que GitHub y sus usuarios implementen procesos de verificación más estrictos, persistirán campañas de malware similares, lo que provocará más robos de credenciales y pérdidas financieras.

La industria de las criptomonedas perdió 1.490 millones de dólares en 2024.

Los hallazgos de Kaspersky coinciden con las tendencias más amplias de ciberseguridad en el espacio criptográfico.

Según un informe de la empresa de seguridad blockchain Immunefi, la industria de las criptomonedas sufrió pérdidas por valor de 1.490 millones de dólares debido a hackeos y fraudes en 2024.

Esto representó una disminución del 17% con respecto a 2023, aunque los incidentes de piratería informática siguieron siendo la principal causa de pérdidas financieras.

De los 1.490 millones de dólares perdidos en total, 1.470 millones —el 98,1%— se atribuyeron a ataques informáticos, con 192 incidentes documentados.

El fraude, incluyendo las estafas de "rug pull" y las estafas de salida, representó 28 millones de dólares, lo que supone solo el 1,9% de las pérdidas totales.

Sin embargo, los casos de fraude aumentaron un 72% interanual, lo que refleja una creciente sofisticación en las tácticas de los ciberdelincuentes.

Si bien la disminución de las pérdidas totales sugiere una mejora en las medidas de seguridad, el número de ataques sigue siendo elevado.

En 2023 se denunciaron 320 incidentes de piratería informática, frente a los 232 de 2024, lo que supone una reducción del 27,5%.

Los expertos en ciberseguridad advierten que, a pesar de los avances, plataformas como GitHub siguen siendo explotadas, y que se necesitan estrategias de seguridad más específicas para mitigar los riesgos.

A medida que los ciberdelincuentes perfeccionan sus métodos, las organizaciones y los desarrolladores deben extremar la precaución al descargar software de plataformas de código abierto.

El aumento de los repositorios falsos generados por IA, junto con la amenaza constante de ciberataques relacionados con criptomonedas, subraya la necesidad de métodos de verificación mejorados para prevenir pérdidas financieras a gran escala.