Una campaña de malware llamada GitVenom utiliza cientos de repositorios de GitHub para engañar a los usuarios y hacer que descarguen stealers de información, troyanos de acceso remoto (RATs) y secuestradores de portapapeles, con el objetivo de robar criptomonedas y credenciales.
Detalles del Malware
Según Kaspersky, GitVenom ha estado activo al menos durante dos años, atacando a usuarios a nivel mundial, pero con un enfoque particular en Rusia, Brasil y Turquía.
A lo largo de la campaña de GitVenom, los actores de amenazas han creado cientos de repositorios en GitHub que contienen proyectos falsos con código malicioso.
Como por ejemplo:
- Herramienta de automatización para interactuar con cuentas de Instagram.
- Bot de Telegram para gestionar carteras de Bitcoin.
- Herramienta de hackeo para el videojuego Valorant.
¿Cómo Funciona el Engaño?
Los repositorios maliciosos son cuidadosamente diseñados, presentando detalles y archivos readme escritos de manera adecuada, probablemente con la ayuda de herramientas de IA.
Además, los atacantes emplean trucos para inflar artificialmente el número de commits (cambios en el código) enviados a esos repositorios, creando una falsa imagen de alta actividad y aumentando la credibilidad del proyecto.
Malware Detectado en los Repositorios de GitHub
El análisis de Kaspersky sobre múltiples repositorios que apoyan la campaña de GitVenom reveló que el código malicioso inyectado en los proyectos está escrito en varios lenguajes de programación, incluyendo Python, JavaScript, C, C++ y C#.
Se cree que se utilizan diferentes lenguajes para evadir la detección por herramientas de revisión de código específicas.
Cuando la víctima ejecuta el payload (carga útil), el código inyectado descarga una segunda etapa desde un repositorio de GitHub controlado por el atacante.
Entre las herramientas que se encontraron en la campaña GitVenom, se incluyen:
- Node.js stealer: Un infostealer que roba credenciales guardadas, información de carteras de criptomonedas e historial de navegación, comprimiendo los datos en un archivo .7z y exfiltrándolos a través de Telegram.
- AsyncRAT: Un RAT de código abierto que permite control remoto, grabación de teclas, captura de pantalla, manipulación de archivos y ejecución de comandos.
- Quasar backdoor: Un RAT de código abierto con capacidades similares a AsyncRAT.
- Clipboard hijacker: Malware que monitorea el portapapeles de la víctima para obtener direcciones de carteras de criptomonedas y las reemplaza por una dirección controlada por el atacante, redirigiendo así los fondos al hacker.
En el informe se destaca un caso de noviembre de 2024, cuando la cartera de Bitcoin del atacante recibió 5 BTC, que estaban valorados en medio millón de USD.
¿Cómo Protegerse de Esta Campaña? ️
Aunque el malware oculto en repositorios de GitHub bajo la apariencia de software regular o incluso exploits de PoC (Pruebas de Concepto) no es nuevo, la duración y el tamaño de GitVenom demuestran que el abuso de plataformas legítimas sigue siendo muy efectivo.
Es crucial verificar a fondo un proyecto antes de utilizar cualquiera de sus archivos, inspeccionando el contenido del repositorio, escaneando los archivos con herramientas antivirus y ejecutando los archivos descargados en un entorno aislado.
Señales de alerta incluyen:
- Código ofuscado.
- Commits automáticos inusuales.
- Archivos Readme excesivamente detallados, que parecen generados por IA.