Piratas informáticos usan código falso en GitHub para robar bitcoin, según Kaspersky

El código de GitHub que utilizas para crear una aplicación popular o corregir errores existentes podría estar diseñado para robar tus bitcoin (BTC) u otras criptomonedas, según un informe de Kaspersky.

GitHub es una herramienta ampliamente utilizada por desarrolladores de todo tipo, pero especialmente en proyectos centrados en criptomonedas, donde una simple aplicación puede generar millones de dólares en ingresos.

El informe advierte a los usuarios sobre la campaña “GitVenom”, activa desde hace al menos dos años y en constante crecimiento, que consiste en insertar código malicioso en proyectos falsos dentro de la popular plataforma de repositorio de código.

El ataque comienza con proyectos de GitHub aparentemente legítimos, como bots de Telegram para gestionar billeteras de bitcoin o herramientas para videojuegos.

Cada uno de estos proyectos incluye un archivo README bien elaborado, a menudo generado por IA, para generar confianza. Sin embargo, el código en sí es un caballo de Troya: en proyectos basados en Python, los atacantes ocultan un script malicioso tras una larga cadena de 2000 pestañas, que descifra y ejecuta una carga maliciosa.

En el caso de JavaScript, una función maliciosa se incrusta en el archivo principal, desencadenando el ataque. Una vez activado, el malware descarga herramientas adicionales desde un repositorio de GitHub independiente controlado por los atacantes.

(Una pestaña organiza el código, haciéndolo más legible al alinear las líneas. La carga útil es la parte central de un programa que ejecuta su función principal o, en el caso del malware, provoca el daño).

Una vez que el sistema está infectado, varios otros programas entran en acción para completar el ataque. Un ladrón basado en Node.js recopila contraseñas, detalles de billeteras de criptomonedas y el historial de navegación, empaquetándolos y enviándolos a través de Telegram. Troyanos de acceso remoto como AsyncRAT y Quasar toman el control del dispositivo de la víctima, registran las pulsaciones de teclas y capturan pantallas.

Además, un "clipper" reemplaza automáticamente direcciones de billeteras copiadas con las de los atacantes, redirigiendo los fondos sin que el usuario lo note. Una de estas billeteras acumuló 5 BTC (valorados en US$ 485.000 en ese momento) solo en noviembre.

GitVenom, activo desde hace al menos dos años, ha afectado principalmente a usuarios en Rusia, Brasil y Turquía, aunque su impacto es global, según Kaspersky.

Los atacantes mantienen sus operaciones ocultas imitando el desarrollo activo de los proyectos y variando sus técnicas de codificación para evadir el software antivirus.

¿Cómo pueden protegerse los usuarios? Analizando el código antes de ejecutarlo, verificando la autenticidad del proyecto y desconfiando de archivos README demasiado elaborados o historiales de commits inconsistentes.

Los investigadores no esperan que estos ataques cesen pronto: “Esperamos que estos intentos continúen en el futuro, posiblemente con pequeños cambios en los TTP”, concluyó Kaspersky en su informe.

Este artículo, o partes del mismo, fue generado con asistencia de herramientas de IA y revisado por nuestro equipo editorial para garantizar la precisión y el cumplimiento de nuestros estándares. Para más información, consulte la política completa de IA de CoinDesk.