Alerta para los usuarios de GitHub: descubren una red con casi 300 repositorios que imitaban programas conocidos para infectar PC

¡Alerta de malware en GitHub! Se registran cientos de programas potencialmente peligrosos que imitan a varias apps famosas como Malwarebytes. ProtonVPN y WinRAR.
Pregúntale a cualquier programador por GitHub y te dirá inmediatamente de qué se trata. Incluso los entusiastas que suelen instalar apps de código abierto en Windows y Linux suelen usar la plataforma.
Justo por esto es que hay que tener cuidado, porque la popularidad que tiene actualmente la está convirtiendo en uno de los objetivos de los cibercriminales. Se ha detectado una campaña maliciosa que usa repositorios públicos para esparcir malware en millones de equipos.
Los hackers están creando imitaciones de programas como WinRAR, Malwarebytes, Postman, Krita y otros que normalmente usas a diario para engañarte y hacer que infectes por tu propia cuenta el sistema.
La mayor parte de los esfuerzos de los piratas informáticos están enfocados en robo de información y virus, pero aunque GitHub está eliminando parte de todo el código infectado, hay algo sumamente importante que debes saber para cuidarte de estos riesgos.
Una campaña masiva utilizó repositorios falsos para distribuir malware

¿Has usado GitHub? Es importante que prestes atención a la situación actual por la que está pasando la famosa plataforma de repositorios. Descargar e instalar programas desde aquí no siempre es seguro.
La firma de ciberseguridad Arctic Wolf identificó una operación que utilizó 292 repositorios falsos de GitHub para imitar software legítimo. Todo apunta a un acto malicioso de los ciberdelincuentes que consiste en engañar a los usuarios para que infecten los ordenadores con virus sin darse cuenta.
Esta táctica es tan peligrosa debido a que las diversas apps se hacen pasar por proyectos relacionados con software de seguridad, servicios de criptomonedas, utilidades para desarrolladores, plataformas de correo seguro, herramientas para macOS e incluso servicios de gaming.
La investigación comenzó después de que la compañía detectara que uno de sus propios productos estaba siendo suplantado dentro de esta campaña iniciada el 26 de junio.
Según el informe, tras encontrar e investigar las coincidencias, en cada uno de estos repositorios sospechosos se encontraba un archivo README que contenía enlaces que dirigían a las víctimas hacia páginas diseñadas para distribuir malware.
El phishing estaba pensado para transmitir confianza al replicar con exactitud cada uno de los elementos visuales, insignias y botones de las interfaces de las empresas para que los usuarios pudieran seguir el proceso "como siempre".
“Cuando el usuario ejecuta el ejecutable, gup.exe carga lateralmente libcurl.dll, que decodifica y ejecuta reflexivamente un ladrón de información integrado completamente en la memoria”.
Además de esto, se descubrió que la mayoría utilizaba una plantilla HTML y JavaScript reutilizada entre las distintas marcas. “Su script del lado del cliente analiza la ruta URL en dos segmentos”, es lo que dice la compañía sobre el modus operandi, destacando que esto fue lo que hicieron para adaptar la apariencia.
Por otro lado, esta carga maliciosa llegaba mediante un archivo ZIP de gran tamaño cuyo nombre cambiaba aproximadamente cada minuto. Dentro del paquete se encontraban un archivo libcurl.dll modificado y una copia legítima y firmada de WinGUP, renombrada según el software que se estaba imitando.
Con esto, solo hacía falta que se ejecutara para que se aplicara la "carga lateral de DLL" y así empezar a inyectar el malware sin levantar sospechas de la plataforma o el sistema operativo.
BoryptGrab apunta a navegadores, criptomonedas y credenciales sensibles
El malware identificado presenta características asociadas a una variante de la familia BoryptGrab, un infostealer diseñado para recopilar información durante una única ejecución.
Utilizando el mismo método, la misión de los hackers era conseguir credenciales, cookies, datos de pago y datos almacenados en más de 19 navegadores web, además de 32 marcas de billeteras de criptomonedas.
Archivos en el escritorio o en carpetas de documentos cuyos nombres sugieren que contienen contraseñas, copias de seguridad, billeteras digitales o frases de recuperación de los afectados, también están en el punto de mira.
Algunas de las plataformas vinculadas al inconveniente han sido las sesiones de Telegram, tokens de Discord, credenciales de Steam y la app de mensajería Max de Meta.
Arctic Wolf señala que el malware puede eludir mecanismos de cifrado vinculados a apps basadas en Chrome mediante la inyección directa de código en el proceso del navegador.
Los investigadores no lograron atribuir la operación a un grupo específico, aunque consideran probable que el operador hable ruso y que el móvil principal sea económico.
A pesar de que los desarrolladores de GitHub ya se encuentran eliminando gran parte de los repositorios maliciosos, todavía quedan decenas y por eso el equipo de Artic Wolf recomienda verificar siempre la autenticidad de los proyectos sobre fuentes oficiales antes de instalar.
