Encontré 10k repositorios de GitHub distribuyendo malware troyano
Naturaleza de la campaña de malware
- Los repositorios alojan proyectos aparentemente útiles, pero distribuyen malware mediante archivos ZIP enlazados o binarios reemplazados en las “releases”.
- Las muestras muestran actividad de red hacia servicios de información de IP, nodos RPC de Polygon y un servidor C2, lo que sugiere robo de criptomonedas.
- Una muestra analizada coincide con la familia de troyanos “disco”; la mayoría de las cargas útiles están enfocadas en Windows.
- Los atacantes eliminan y vuelven a publicar commits con frecuencia para mantenerse en la parte superior de “actualizados recientemente” y de los resultados de búsqueda.
Papel de GitHub y respuesta
- Experiencias mixtas al reportar: algunos repositorios se eliminan en 24 horas; otros permanecen durante meses o años (incluida la piratería evidente).
- Quienes comentan sostienen que GitHub no es un repositorio curado, sino más bien un host de archivos o un foro con enlaces.
- Varios opinan que GitHub/Microsoft infrautilizan sus recursos (incluida la IA) para la detección proactiva de malware, probablemente por concesiones comerciales y riesgos de falsos positivos.
Límites de “el software libre es seguro”
- Hay un debate intenso sobre la creencia común de que el software libre es “más seguro” porque se puede auditar.
- Muchos señalan que:
- Poca gente realmente lee el código o verifica que los binarios coincidan con las fuentes.
- Las estrellas, la popularidad y los “muchos ojos” crean una falsa sensación de seguridad y se pueden manipular fácilmente.
- Otros replican que el software libre nunca garantizó estar limpio, solo ser más auditable; la puerta trasera de xz se cita como contraejemplo de la confianza ingenua.
Detección, análisis y herramientas
- VirusTotal a veces marca el malware solo cuando el ZIP se sube directamente, no cuando se proporciona solo un enlace.
- Se pide escaneo de releases/binarios en todo GitHub y heurísticas básicas (cuentas nuevas, stargazers sincronizados, árboles de malware clonados).
- Herramientas existentes mencionadas: Socket, Aikido, Step-Security, Wiz, análisis estilo Semgrep; algunos quieren mejores escáneres de GitHub antes de la descarga.
Motores de búsqueda y phishing
- Los resultados de búsqueda (especialmente los que no son de Google) a menudo muestran phishing o forks maliciosos de GitHub por encima de repositorios legítimos.
- Algunos usuarios informan de páginas de phishing para bancos y proyectos de GitHub con alta clasificación; otros dicen que esto ocurre en varios motores de búsqueda importantes.
Seguridad de cuentas y prácticas de contraseñas
- Un caso de alto perfil de malware desde un plugin de GitHub que comprometió un gestor de contraseñas impulsa el debate sobre:
- Guardar TOTP/MFA en la misma bóveda que las contraseñas.
- Usar llaves de hardware (p. ej., YubiKey), dispositivos separados o múltiples bóvedas.
- Varios argumentan que los gestores de contraseñas asumen un dispositivo no comprometido; una vez que el malware se ejecuta localmente, muchas defensas fallan.
Ingeniería social y falsas pruebas técnicas
- Descripciones de estafas de reclutamiento: ofertas de “trabajo soñado”, seguidas de un repositorio de “prueba técnica” que en realidad despliega malware.
- Algunos desarrolladores ahora ejecutan todas esas pruebas solo en máquinas virtuales desechables y vigilan las conexiones salientes.
Preocupaciones más amplias sobre la calidad del ecosistema
- La percepción es que GitHub se está desplazando hacia “SourceForge 2.0”: spam, malware, estrellas manipuladas por SEO y una aplicación débil de las normas.
- Algunos ven esto como una realidad de larga data del ecosistema de código abierto; otros culpan a la propiedad corporativa a gran escala y a los incentivos de crecimiento.