Encontré 10k repositorios de GitHub distribuyendo malware troyano

Naturaleza de la campaña de malware

  • Los repositorios alojan proyectos aparentemente útiles, pero distribuyen malware mediante archivos ZIP enlazados o binarios reemplazados en las “releases”.
  • Las muestras muestran actividad de red hacia servicios de información de IP, nodos RPC de Polygon y un servidor C2, lo que sugiere robo de criptomonedas.
  • Una muestra analizada coincide con la familia de troyanos “disco”; la mayoría de las cargas útiles están enfocadas en Windows.
  • Los atacantes eliminan y vuelven a publicar commits con frecuencia para mantenerse en la parte superior de “actualizados recientemente” y de los resultados de búsqueda.

Papel de GitHub y respuesta

  • Experiencias mixtas al reportar: algunos repositorios se eliminan en 24 horas; otros permanecen durante meses o años (incluida la piratería evidente).
  • Quienes comentan sostienen que GitHub no es un repositorio curado, sino más bien un host de archivos o un foro con enlaces.
  • Varios opinan que GitHub/Microsoft infrautilizan sus recursos (incluida la IA) para la detección proactiva de malware, probablemente por concesiones comerciales y riesgos de falsos positivos.

Límites de “el software libre es seguro”

  • Hay un debate intenso sobre la creencia común de que el software libre es “más seguro” porque se puede auditar.
  • Muchos señalan que:
    • Poca gente realmente lee el código o verifica que los binarios coincidan con las fuentes.
    • Las estrellas, la popularidad y los “muchos ojos” crean una falsa sensación de seguridad y se pueden manipular fácilmente.
  • Otros replican que el software libre nunca garantizó estar limpio, solo ser más auditable; la puerta trasera de xz se cita como contraejemplo de la confianza ingenua.

Detección, análisis y herramientas

  • VirusTotal a veces marca el malware solo cuando el ZIP se sube directamente, no cuando se proporciona solo un enlace.
  • Se pide escaneo de releases/binarios en todo GitHub y heurísticas básicas (cuentas nuevas, stargazers sincronizados, árboles de malware clonados).
  • Herramientas existentes mencionadas: Socket, Aikido, Step-Security, Wiz, análisis estilo Semgrep; algunos quieren mejores escáneres de GitHub antes de la descarga.

Motores de búsqueda y phishing

  • Los resultados de búsqueda (especialmente los que no son de Google) a menudo muestran phishing o forks maliciosos de GitHub por encima de repositorios legítimos.
  • Algunos usuarios informan de páginas de phishing para bancos y proyectos de GitHub con alta clasificación; otros dicen que esto ocurre en varios motores de búsqueda importantes.

Seguridad de cuentas y prácticas de contraseñas

  • Un caso de alto perfil de malware desde un plugin de GitHub que comprometió un gestor de contraseñas impulsa el debate sobre:
    • Guardar TOTP/MFA en la misma bóveda que las contraseñas.
    • Usar llaves de hardware (p. ej., YubiKey), dispositivos separados o múltiples bóvedas.
  • Varios argumentan que los gestores de contraseñas asumen un dispositivo no comprometido; una vez que el malware se ejecuta localmente, muchas defensas fallan.

Ingeniería social y falsas pruebas técnicas

  • Descripciones de estafas de reclutamiento: ofertas de “trabajo soñado”, seguidas de un repositorio de “prueba técnica” que en realidad despliega malware.
  • Algunos desarrolladores ahora ejecutan todas esas pruebas solo en máquinas virtuales desechables y vigilan las conexiones salientes.

Preocupaciones más amplias sobre la calidad del ecosistema

  • La percepción es que GitHub se está desplazando hacia “SourceForge 2.0”: spam, malware, estrellas manipuladas por SEO y una aplicación débil de las normas.
  • Algunos ven esto como una realidad de larga data del ecosistema de código abierto; otros culpan a la propiedad corporativa a gran escala y a los incentivos de crecimiento.