Saltar al contenido principal

GitVenom: malware oculto en GitHub roba datos personales y cerca de 447.000€ en Bitcoin

26 de marzo de 2025

El equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha descubierto una campaña de malware oculta en cientos de repositorios de código abierto dirigida a jugadores y criptoinversores, denominada GitVenom. Los proyectos infectados, que simulaban ser herramientas para Instagram, Bitcoin y Valorant, en realidad servían para robar datos personales y bancarios, además de secuestrar direcciones de criptomonedas en el portapapeles. Como resultado, los ciberdelincuentes lograron sustraer 5 Bitcoins (unos 485.000 dólares, es decir, 447.000 euros aproximadamente).

Estos repositorios han permanecido en GitHub durante varios años, una plataforma ampliamente utilizada por desarrolladores para gestionar y compartir código. Para atraer a sus víctimas, los atacantes hacen que estos repositorios parecieran legítimos, utilizando descripciones llamativas, probablemente generadas con Inteligencia Artificial (IA). Sin embargo, al ejecutar el código, el dispositivo de la víctima quedaba infectado con malware, permitiendo a los atacantes tomar el control de forma remota.

Aunque los proyectos estaban escritos en múltiples lenguajes de programación (Python, JavaScript, C, C++ y C#), las cargas maliciosas almacenadas en su interior tenían un mismo objetivo: descargar otros componentes maliciosos desde un repositorio de GitHub controlado por los atacantes y ejecutarlos. Entre estos componentes destaca un stealer capaz de recopilar contraseñas, información bancaria, credenciales almacenadas, datos de monederos de criptomonedas e historial de navegación. A continuación, toda esta información se empaqueta en un archivo .7z y se envía a los atacantes a través de Telegram.

Otros componentes maliciosos descargados incluyen herramientas de administración remota que permiten monitorizar y controlar el ordenador de la víctima mediante una conexión cifrada, así como un secuestrador de portapapeles que busca direcciones de monederos de criptomonedas y las reemplaza con direcciones controladas por los atacantes. Cabe destacar que el monedero de Bitcoin de los atacantes recibió una suma de 5 BTC (aproximadamente 447.000 euros -485.000 dólares- en noviembre de 2024).

“Dado que plataformas de intercambio de código como GitHub son utilizadas por millones de desarrolladores en todo el mundo, los ciberdelincuentes seguirán empleando software falso como señuelo de infección en el futuro. Por ello, es fundamental manipular con precaución el procesamiento de código de terceros. Antes de ejecutar o integrar código en un proyecto existente, es imprescindible analizar cuidadosamente qué acciones realiza. De esta manera, será más fácil detectar proyectos falsos y evitar que código malicioso comprometa el entorno de desarrollo”, concluye Georgy Kucherin, analista de seguridad en Kaspersky GReAT

Equipo de Investigación y Análisis Global

Fundado en 2008, el Global Research & Analysis Team (GReAT) opera en el núcleo de Kaspersky, descubriendo APT (amenazas persistentes avanzadas), campañas de ciberespionaje, malware de gran impacto, ransomware y tendencias del cibercrimen en todo el mundo. Hoy en día, GReAT cuenta con más de 35 expertos trabajando a nivel global en Europa, Rusia, América Latina, Asia y Medio Oriente. Estos talentosos profesionales en seguridad lideran la investigación y la innovación en antimalware, aportando experiencia inigualable, pasión y curiosidad al análisis de ciberamenazas.

GitVenom: malware oculto en GitHub roba datos personales y cerca de 447.000€ en Bitcoin

Kaspersky logo

Sobre Kaspersky

Kaspersky es una empresa de ciberseguridad y privacidad digital global fundada en 1997. Con más de mil millones de dispositivos protegidos hasta la fecha ante ciberamenazas emergentes y ataques dirigidos, la enorme experiencia de Kaspersky en cuestión de información y seguridad ante amenazas se transforma de forma constante en soluciones y servicios innovadores que ofrecen protección a negocios, infraestructuras vitales, gobiernos y consumidores de todo el mundo. El completísimo catálogo de la compañía incluye los mejores productos y servicios de protección de terminales, así como soluciones de ciberinmunidad para combatir amenazas digitales sofisticadas y en constante evolución. Ayudamos a que más de 200 000 clientes corporativos protejan aquello que más les importa. Más información en www.kaspersky.es.