lunes, 2 de septiembre de 2024

Ataque en GitHub que roba contraseñas y datos bancarios al intentar mejorar tus proyectos

Se ha detectado una peligrosa campaña maliciosa que utiliza los comentarios de GitHub de forma abusiva para distribuir malware que roba contraseñas de los usuarios, entre otros datos. En concreto y para que nos convirtamos en víctimas de la trampa, esta campaña hace uso de las correcciones que se dejan en dichos comentarios por parte de terceros.

Esta es una campaña que ya se ha denunciado en diversos foros y páginas de Internet por parte de víctimas que la han sufrido.

Por ejemplo, un usuario de Reddit denuncia que recibió cinco comentarios diferentes a sus problemas en GitHub. En principio pretendía ser una ayuda, pero en realidad albergaban malware para instalarse en su equipo. Estos actos maliciosos y peligrosos se han ido extendiendo y ya se cuentan por miles en la plataforma. Abarcan una enorme cantidad de proyectos incluidos aquí, ofreciendo correcciones falsas a las cuestiones de aquellos que piden ayuda.

Usan las correcciones de GitHub para distribuir malware

El funcionamiento de esta campaña es bastante sencilla para hacernos caer en la trampa. Un usuario de GitHub pide ayuda al resto y recibe las soluciones a través de comentarios en el proyecto. Aquellas que son maliciosas instan a las potenciales víctimas a que descarguen un archivo protegido con contraseña mediante una URL de bit.ly y lo ejecuten. Decir que esa contraseña en la mayoría de las ocasiones es la misma, "changeme".

ayuda github maliciosa

Evidentemente, el fichero es el culpable de la campaña e instala el correspondiente malware en nuestros equipos. Hasta ahora se han detectado más de 30,000 comentarios de este tipo en tan solo 3 días.

Cabe destacar que el archivo malicioso que se encuentra en la supuesta solución que recibimos, contiene algunos archivos DLL y un ejecutable llamado x86_64-w64-ranlib.exe. Al ejecutarlo, se instala en nuestro equipo y ya se encarga de robar la información almacenada aquí. En concreto, extrae datos importantes y especialmente sensibles tales como cookies, credenciales de acceso, contraseñas, tarjetas de crédito y más. Todo ello a través de navegadores como Google Chrome, Microsoft Edge, Mozilla Firefox y otros Chromium.

Igualmente, también puede robar carteras de criptomonedas, claves privadas y archivos de texto. Todo ello se recopila en un archivo y se envían de vuelta al atacante. En estos instantes, los responsables de GitHub están eliminando estos comentarios maliciosos cuando se detectan. Sin embargo, las víctimas afectadas ya se pueden contar por miles, por lo que tendrán que tomar las medidas oportunas en sus equipos.

Ir al Inicio