
Nuevos Depósitos de GitHub que Disfrazan Malware
En las últimas semanas, hemos sido testigos de un alarmante aumento en la creación de depósitos falsos en GitHub. Un total de 292 depósitos han sido detectados, creados a partir de finales de junio bajo cuentas desechables. Todos ellos comparten un patrón común que pone en riesgo la seguridad de los usuarios desprevenidos.
La Estrategia del Malware
Cada uno de estos depósitos incluye un archivo README saturado de contenido publicitario copiado, junto con un enlace de descarga disfrazado. De manera irónica, algunas de las marcas clonadas en este fraude incluyen nombres reconocidos como Arctic Wolf. Esto ha llevado a una confusión considerable entre los usuarios que buscan herramientas legítimas de seguridad.
Funcionamiento de los Depósitos Falsos
El 30 de junio, se creó el depósito Arctic-Wolf-Security/.github, que presenta una lista de verificación de seguridad falsa y un botón titulado «OFICIAL PAGE» que redirige a un dominio controlado por los operadores de la campaña. Sin embargo, tras este campo visual, se esconde un único esquema HTML/JavaScript que se reutiliza para las otras 292 marcas. Este script examina la URL y reconstruye dinámicamente el título de la página y sus sellos de confianza, como el de VirusTotal.
Hasta ahora, gracias a los reportes hechos en GitHub, la mayoría de estos depósitos han sido eliminados, pero alrededor de 60 redireccionadores siguen activos.
Proceso de Infección
Cuando una víctima hace clic en el botón verde que dice «Download Secure Content», se activa el malware que solicita datos desde un punto de entrada único en el servidor, /download-archive. La respuesta es una archivo ZIP que se construye al momento.
Dentro de este archivo, se encuentran solo dos elementos diseñados para la infección: una versión firmada del software de actualización WinGUP y una biblioteca libcurl.dll manipulada. Lo curioso es que el resto del contenido del archivo, que incluye varias DLL irrelevantes, está diseñado para hacer que el peso total alcance alrededor de 136 MB, lo que lo hace más creíble para una víctima que espera un software real.
Cambio Dinámico de Archivos
Cada 60 segundos, el nombre del archivo que se está descargando cambia, así como el de su ejecutable. Esto crea un efecto de confusión adicional para la víctima. Cuando el ejecutable es finalmente lanzado, el proceso legítimo carga, en lugar de la biblioteca auténtica, la DLL comprometida. Este método se conoce como “carga dinámica”.
¿Inteligencia Artificial o Script Clásico?
El ritmo rápido de publicación de nuevos depósitos —varios por hora durante una semana completa— plantea una interrogante: ¿podría haber una inteligencia artificial detrás de esta campaña? Sin embargo, los elementos técnicos apuntan a un script convencional. El diseño HTML único adapta cada marca en tiempo real, lo que es incompatible con la redacción personalizada para cada página.
Un aspecto más inquietante es que algunos nombres de las cuentas utilizadas para los redireccionadores incluyen insultos en ruso, sugiriendo que una IA no tendría razones para incluir tales términos en su código.
Conclusión
La proliferación de depósitos falsos en GitHub representa un desafío significativo para la comunidad. Los usuarios deben permanecer alerta ante posibles engaños de este tipo y asegurar que descargan software únicamente de fuentes confiables. La educación en ciberseguridad es más crucial que nunca.




