Kaspersky: hackers están creando proyectos falsos en GitHub para robar criptomonedas

Los hackers están creando cientos de proyectos falsos en GitHub con el objetivo de engañar a los usuarios para que descarguen malware diseñado para robar criptomonedas y credenciales, según la firma de ciberseguridad Kaspersky.

El analista de Kaspersky Georgy Kucherin afirmó en un informe del 24 de febrero que la campaña de malware, a la que la compañía denominó “GitVenom”, ha llevado a los hackers a crear cientos de repositorios en GitHub que alojan proyectos falsos que contienen troyanos de acceso remoto (RATs), info-stealers y secuestradores de portapapeles.

Algunos de los proyectos falsificados incluyen un bot de Telegram que gestiona billeteras de Bitcoin y una herramienta para automatizar interacciones en cuentas de Instagram.

Kucherin agregó que los creadores del malware “se esforzaron mucho” para hacer que los proyectos parecieran legítimos, incluyendo archivos de información e instrucciones “bien diseñados” que “posiblemente fueron generados con herramientas de IA”.

Los responsables de estos proyectos maliciosos también inflaron artificialmente el número de “commits” o cambios en el proyecto, además de añadir múltiples referencias a modificaciones específicas para dar la apariencia de que el proyecto estaba siendo activamente mejorado.

“Para lograrlo, colocaron un archivo de marca de tiempo en estos repositorios, el cual se actualizaba cada pocos minutos”.

“Claramente, al diseñar estos proyectos falsos, los actores se esforzaron mucho para que los repositorios parecieran legítimos para sus posibles víctimas”, afirmó Kucherin en el informe.

Los proyectos no implementaban las funciones descritas en los archivos de instrucciones y explicaciones, y Kaspersky descubrió que en su mayoría “realizaban acciones sin sentido”.

Durante su investigación, Kaspersky encontró varios proyectos falsos que datan de al menos dos años atrás y especuló que “el vector de infección probablemente es bastante eficiente” porque los hackers han estado atrayendo víctimas durante mucho tiempo.

Independientemente de cómo se presente el proyecto falso, Kucherin afirmó que todos contienen “cargas maliciosas” que descargan componentes como un info stealer que roba credenciales guardadas, datos de billeteras de criptomonedas e historial de navegación, y los sube a los hackers a través de Telegram.

Otro componente malicioso usa un secuestrador de portapapeles que busca direcciones de billeteras de criptomonedas y las reemplaza por direcciones controladas por los atacantes.

Kucherin afirmó que estas aplicaciones maliciosas atraparon al menos a un usuario en noviembre, cuando una billetera controlada por hackers recibió 5 Bitcoin , actualmente valorados en aproximadamente 442.000 dólares.

La campaña GitVenom se ha observado en todo el mundo, pero tiene un enfoque elevado en infectar a usuarios de Rusia, Brasil y Turquía, según Kaspersky.

Kucherin señala que, debido a que plataformas de intercambio de código como GitHub son utilizadas por millones de desarrolladores en todo el mundo, los actores maliciosos seguirán usando software falso como señuelo de infección.

Aconsejó que es fundamental verificar qué acciones realiza cualquier código de terceros antes de descargarlo.

Kucherin agregó que la empresa espera que los atacantes continúen publicando proyectos maliciosos, aunque “posiblemente con pequeños cambios” en sus tácticas, técnicas y procedimientos.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.