El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha descubierto una campaña de malware oculta en cientos de repositorios de código abierto dirigida a jugadores y criptoinversores, denominada GitVenom. Los proyectos infectados, que simulaban ser herramientas para Instagram, Bitcoin y Valorant, en realidad servían para robar datos personales y bancarios, además de secuestrar direcciones de criptomonedas en el portapapeles. Como resultado, los ciberdelincuentes lograron sustraer 5 Bitcoins (unos 485.000 dólares, es decir, 447.000 euros aproximadamente).
Estos repositorios han permanecido en GitHub durante varios años, una plataforma ampliamente utilizada por desarrolladores para gestionar y compartir código. Para atraer a sus víctimas, los atacantes hacen que estos repositorios parecieran legítimos, utilizando descripciones llamativas, probablemente generadas con Inteligencia Artificial (IA). Sin embargo, al ejecutar el código, el dispositivo de la víctima quedaba infectado con malware, permitiendo a los atacantes tomar el control de forma remota.
Aunque los proyectos estaban escritos en múltiples lenguajes de programación (Python, JavaScript, C, C++ y C#), las cargas maliciosas almacenadas en su interior tenían un mismo objetivo: descargar otros componentes maliciosos desde un repositorio de GitHub controlado por los atacantes y ejecutarlos. Entre estos componentes destaca un stealer capaz de recopilar contraseñas, información bancaria, credenciales almacenadas, datos de monederos de criptomonedas e historial de navegación. A continuación, toda esta información se empaqueta en un archivo .7z y se envía a los atacantes a través de Telegram.
Otros componentes maliciosos descargados incluyen herramientas de administración remota que permiten monitorizar y controlar el ordenador de la víctima mediante una conexión cifrada, así como un secuestrador de portapapeles que busca direcciones de monederos de criptomonedas y las reemplaza con direcciones controladas por los atacantes. Cabe destacar que el monedero de Bitcoin de los atacantes recibió una suma de 5 BTC (aproximadamente 447.000 euros -485.000 dólares- en noviembre de 2024).
“Dado que plataformas de intercambio de código como GitHub son utilizadas por millones de desarrolladores en todo el mundo, los ciberdelincuentes seguirán empleando software falso como señuelo de infección en el futuro. Por ello, es fundamental manipular con precaución el procesamiento de código de terceros. Antes de ejecutar o integrar código en un proyecto existente, es imprescindible analizar cuidadosamente qué acciones realiza. De esta manera, será más fácil detectar proyectos falsos y evitar que código malicioso comprometa el entorno de desarrollo”, concluye Georgy Kucherin, analista de seguridad en Kaspersky GReAT
Equipo de Investigación y Análisis Global
Fundado en 2008, el Global Research & Analysis Team (GReAT) opera en el núcleo de Kaspersky, descubriendo APT (amenazas persistentes avanzadas), campañas de ciberespionaje, malware de gran impacto, ransomware y tendencias del cibercrimen en todo el mundo. Hoy en día, GReAT cuenta con más de 35 expertos trabajando a nivel global en Europa, Rusia, América Latina, Asia y Medio Oriente. Estos talentosos profesionales en seguridad lideran la investigación y la innovación en antimalware, aportando experiencia inigualable, pasión y curiosidad al análisis de ciberamenazas.
