Campaña de Malware en GitHub

Una sofisticada campaña de malware ha estado utilizando GitHub, la popular plataforma de desarrollo, para distribuir cargas maliciosas sin levantar sospechas. Esta operación, activa desde febrero de 2025, se basa en el modelo "malware-as-a-service" (MaaS), ofreciendo herramientas de ataque como servicios en la nube. Los atacantes aprovechan la legitimidad de GitHub para distribuir enlaces aparentemente inocuos, engañando a las víctimas.

El Método de Ataque

El proceso comienza con Emmenhtal, un programa diseñado para ocultar el código malicioso en varias capas. Solo al final se ejecuta un script en PowerShell que contacta con una dirección remota para descargar la carga útil real: Amadey.

Amadey: El Malware Oculto

Amadey, un malware conocido desde 2018, recopila información del sistema infectado y descarga archivos adicionales desde repositorios públicos de GitHub. Esto hace que la descarga parezca tráfico normal, dificultando su detección.

Cuentas Compromiso

Se identificaron cuentas como Legendary99999, Milidmdds y DFfe9ewf, cada una con múltiples repositorios que alojaban archivos maliciosos en sus secciones de Releases. Estos repositorios contenían malware como Rhadamanthys, Lumma, Redline, e incluso herramientas legítimas como PuTTY y Selenium WebDriver, re-empaquetadas con fines maliciosos.

Flexibilidad y Adaptabilidad

Una vez infectado, Amadey descarga el archivo necesario desde GitHub, ofreciendo una gran flexibilidad a los atacantes. Pueden descargar troyanos de acceso remoto, scripts disfrazados de archivos multimedia, o código Python con funciones ocultas, adaptándose a las necesidades específicas de cada operador.

Respuesta de GitHub

GitHub respondió rápidamente a la notificación de Talos, eliminando las cuentas comprometidas. Sin embargo, el incidente resalta la vulnerabilidad de plataformas legítimas al uso indebido para ocultar actividades maliciosas. La estrategia se centra en aprovechar servicios confiables para pasar desapercibidos.

Conclusión

Esta campaña de malware demuestra la capacidad de los atacantes para utilizar plataformas legítimas para fines maliciosos. La clave está en la habilidad de camuflar el malware entre el tráfico normal, dificultando su detección y creando un riesgo significativo para millones de usuarios de GitHub.

Fuente: Xataka