El código GitHub que utiliza para crear una aplicación moderna o parche los errores existentes podría usarse para robar su bitcoin (BTC) u otras tenencias de cripto, según un informe de Kaspersky.
GitHub es una herramienta popular entre los desarrolladores de todo tipo, pero aún más entre los proyectos centrados en criptografía, donde una aplicación simple puede generar millones de dólares en ingresos.
El informe advirtió a los usuarios de una campaña «Gitvenom» que ha estado activa durante al menos dos años, pero está constantemente en aumento, implicando plantar código malicioso en proyectos falsos en la popular plataforma de repositorio de código.
El ataque comienza con proyectos de GitHub aparentemente legítimos, como hacer bots de telegrama para administrar billeteras o herramientas de bitcoin para juegos de computadora.
Cada uno viene con un archivo ReadMe pulido, a menudo generado por IA, para generar confianza. Pero el código en sí es un caballo troyano: para los proyectos con sede en Python, los atacantes ocultan el guión nefasto después de una extraña cadena de 2,000 pestañas, que descifra y ejecuta una carga útil maliciosa.
Para JavaScript, una función Rogue está integrada en el archivo principal, lo que desencadena el ataque de lanzamiento. Una vez activado, el malware extrae herramientas adicionales de un repositorio de GitHub controlado por hackers separado.
(Una pestaña organiza el código, lo que lo hace legible al alinear las líneas. La carga útil es la parte central de un programa que hace el trabajo real, o daño, en el caso de malware).
Una vez que el sistema está infectado, varios otros programas se activan para ejecutar la exploit. Un robador de node.js recolecta contraseñas, detalles de la billetera criptografía e historial de navegación, luego las envuelve y las envía a través de Telegram. Los troyanos de acceso remoto como Asyncrat y Quasar se hacen cargo del dispositivo de la víctima, registran pulsaciones de teclas y capturan capturas de pantalla.
Un «Clipper» también intercambia direcciones de billetera copiadas con los fondos propios de los piratas informáticos. Una de esas billeteras anotó 5 BTC, con un valor de $ 485,000 en ese momento, solo en noviembre.
Activo durante al menos dos años, Gitvenom ha afectado a los usuarios más duro en Rusia, Brasil y Turquía, aunque su alcance es global, según Kaspersky.
Los atacantes lo mantienen sigiloso imitando el desarrollo activo y variando sus tácticas de codificación para evadir el software antivirus.
¿Cómo pueden los usuarios protegerse a sí mismos? Al examinar cualquier código antes de ejecutarlo, verificar la autenticidad del proyecto y ser sospechoso de readmes excesivamente pulidos o historias de confirmación inconsistente.
Debido a que los investigadores no esperan que estos ataques se detengan pronto: «Esperamos que estos intentos continúen en el futuro, posiblemente con pequeños cambios en los TTP», concluyó Kaspersky en su publicación.
