
Un Faux Outil de Analyse DNS Propaga Malware à Travers 222 Dépôts GitHub
Automatización Peligrosa en GitHub
Recientemente, se ha descubierto que 222 depósitos de GitHub están propagando malware mediante un mecanismo de GitHub Actions, que es una herramienta de automatización integrada en la plataforma. Este sistema asocia la dirección de correo electrónico [email protected] con diferentes nombres de usuario que pertenecen a cuentas de fachada. Aproximadamente cada minuto, esta automatización actualiza un archivo de registro y publica cambios en el historial del repositorio, lo que otorga a los proyectos una apariencia de mantenimiento activo.
La Apariencia de Mantenimiento
Este método de automatización permite que los depósitos afecten la percepción de los usuarios, haciéndoles creer que están utilizando proyectos recientemente actualizados y mantenidos. Este tipo de ingeniería social se asemeja a campañas pasadas, como la TroyDen’s Lure Factory, que también utilizó depósitos engañosos para propagar software malicioso.
Objetivos de los Depósitos Comprometidos
Los depósitos están diseñados para atraer a personas que están dispuestas a ejecutar código no verificado. Entre los principales objetivos se encuentran:
- Carteras de criptomonedas como MetaMask y Trust Wallet.
- Bots utilizados en plataformas como Telegram y Discord.
- Herramientas de trampa para videojuegos, incluyendo títulos populares como PUBG y Valorant.
Un ejemplo específico es el depósito nrevv1lad/Pubg-DESYNC-Menu, que simula ser una herramienta de trampa y ofrece un manual de instalación. Sin embargo, incluye un archivo Loader.exe que está vinculado al ladrón de información Vidar.
Vínculos con Actividades Previas
El grupo de seguridad Sophos, representado por los investigadores Matt Wixey y Andrew O’Donnell, relacionó este cluster de depósitos a actividades reportadas ya en 2025. Han encontrado un total de 141 depósitos asociados a la misma dirección de correo, de los cuales 133 contenían puertas traseras.
Además, los dominios muckcoding.com y muckdeveloper.com están relacionados con el alias “Muck”, lo que refuerza la conexión entre estos nuevos depósitos y campañas de malware previamente documentadas.
Consecuencias y Recomendaciones
Los usuarios deben tener extrema precaución al descargar o ejecutar cualquier tipo de software de depósitos de GitHub, especialmente aquellos que prometen herramientas de trampa o que se asocian con criptomonedas. Al ejecutar código de fuentes no verificadas, los usuarios se exponen a robos de datos y al compromiso de sus dispositivos.
Conclusiones
El descubrimiento de estos 222 depósitos de GitHub pone de relieve la necesidad de que las comunidades digitales permanezcan alertas sobre el software que utilizan. Las técnicas de automatización y la ingeniería social se están volviendo más sofisticadas, lo que requiere un mayor nivel de vigilancia y educación entre los usuarios de tecnología. Mantenerse informado sobre las últimas amenazas de seguridad puede ser la clave para protegerse de estos ataques maliciosos.



