GitHub y las cuentas fantasma que propagan malware

GitHub, la plataforma líder en alojamiento de código y colaboración entre desarrolladores, está siendo utilizada por grupos de ciberdelincuentes para propagar malware de manera masiva a través de cuentas fantasma. Investigaciones recientes han revelado que miles de cuentas fantasma operan en la plataforma para distribuir software malicioso, engañando a los usuarios mediante repositorios aparentemente legítimos.

El grupo detrás de esta operación, denominado Stargazer Goblin, ha desarrollado una sofisticada red de distribución de malware aprovechando la confianza que los desarrolladores depositan en GitHub. Este sistema ha permitido a los atacantes generar ingresos considerables mediante una estrategia bien estructurada que dificulta su detección y eliminación.

Cómo funcionan las cuentas fantasma en GitHub

El principal problema radica en la existencia de cuentas falsas en GitHub que tienen el único propósito de distribuir malware aprovechando características del sistema, como la posibilidad de bifurcar (fork) repositorios y otorgar estrellas. Estas cuentas realizan diversas funciones dentro de la red de cibercriminales:

• Repositorios de phishing: se crean con descripciones llamativas para atraer a los usuarios a descargar archivos maliciosos.
• Cuentas que otorgan estrellas: aumentan la visibilidad y credibilidad de repositorios maliciosos.
• Enlaces maliciosos en archivos README.md: conducen a la descarga de software comprometido en apariencia legítimo.
• Automatización de actividades: los atacantes utilizan bots para bifurcar y dar seguimiento a repositorios infectados.

Esta estrategia permite que el malware se distribuya de manera efectiva sin levantar sospechas inmediatas.

Variantes de malware propagadas a través de GitHub

Los investigadores han identificado múltiples familias de malware que han sido distribuidas a través de esta red de cuentas fantasma, incluyendo:

• Atlantida Stealer: roba credenciales de usuarios y datos de criptomonedas.
• Rhadamanthys: diseñado para la sustracción de información bancaria.
• Lumma Stealer: especializado en la obtención de datos privados.
• RedLine: uno de los troyanos de robo de información más utilizados.

Las cuentas maliciosas también utilizan repositorios para alojar archivos comprimidos protegidos con contraseña, lo que dificulta su detección por las soluciones de ciberseguridad.

Cómo los ciberdelincuentes evitan ser detectados con cuentas fantasma en Github

Para mantener la red de malware activa a pesar de los esfuerzos de GitHub para eliminar cuentas fraudulentas, los atacantes emplean varias tácticas:

• Redirección rápida de enlaces: cuando GitHub elimina un repositorio malicioso, los delincuentes actualizan los enlaces en sus otros repositorios para mantener la distribución.
• Uso de múltiples cuentas: cada cuenta falsa tiene una función específica dentro de la red, como validar repositorios o publicar enlaces comprometidos.
• Distribución a través de redes sociales y foros: se han detectado campañas en Discord y otros canales donde los enlaces a estos repositorios maliciosos se comparten.

Casos recientes y crecimiento de la amenaza

Según Check Point Research, solo en enero de 2024, la red Stargazers Ghost infectó a más de 1.300 usuarios con malware en apenas cuatro días. Además, los fraudes relacionados con GitHub han estado activos desde al menos 2022, con un crecimiento sostenido en los últimos años.

El grupo ha generado más de 100.000 dólares gracias a la venta de acceso a su red de cuentas fantasma y la oferta de servicios como la manipulación de estrellas y forks de repositorios.

La estafa de las falsas ofertas de empleo en GitHub

Otro de los métodos utilizados por ciberdelincuentes para infectar equipos es el engaño a desarrolladores mediante falsas ofertas de trabajo. En estos fraudes, los atacantes contactan a programadores y les piden que descarguen un repositorio privado como parte de una prueba técnica. Sin embargo, el código contiene malware que compromete los dispositivos de las víctimas.

Las víctimas, creyendo que están accediendo a una oportunidad laboral legítima, ejecutan sin saberlo software malicioso que roba sus credenciales o incluso permite el acceso remoto a sus equipos.

Recomendaciones para mantenerse protegido

Ante la proliferación de estas amenazas, es fundamental que los desarrolladores y usuarios de GitHub adopten medidas de seguridad:

• Verificar la autenticidad de los repositorios: comprobar la reputación del creador y la actividad previa en GitHub.
• Evitar descargar archivos de fuentes desconocidas: especialmente si están cifrados o protegidos con contraseña.
• No ejecutar código sin revisarlo antes: en caso de duda, ejecutar en un entorno aislado como una máquina virtual.
• Prestar atención a ofertas de empleo demasiado atractivas: evitar descargar código de repositorios privados sin verificaciones adicionales. Desconfía de las propuestas laborales sospechosas.

Las plataformas como GitHub han demostrado ser herramientas fundamentales para el desarrollo de software, pero también pueden convertirse en vectores de ataque si no se toman las precauciones adecuadas. La sofisticación de las tácticas empleadas por ciberdelincuentes evidencia la importancia de la ciberseguridad en entornos de desarrollo colaborativo. Comparte esta noticia y así más usuarios sabran del peligro que hay.