{"id":27971,"date":"2025-03-03T23:20:15","date_gmt":"2025-03-04T05:20:15","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=27971"},"modified":"2025-03-03T23:20:15","modified_gmt":"2025-03-04T05:20:15","slug":"malicious-code-in-github","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/malicious-code-in-github\/27971\/","title":{"rendered":"C\u00f3digo malicioso en GitHub: c\u00f3mo hacen los piratas inform\u00e1ticos para atacar a los programadores"},"content":{"rendered":"

\u00bfTe imaginas un mundo en el que, cada vez que quisieras ir a alg\u00fan lugar, tuvieras que reinventar la rueda y construir una bicicleta desde cero? Nosotros tampoco podemos imaginarlo. \u00bfPor qu\u00e9 reinventar algo que ya existe y funciona perfectamente bien? La misma l\u00f3gica se aplica a la programaci\u00f3n: los desarrolladores enfrentan tareas rutinarias todos los d\u00edas y, en lugar de inventar sus propias ruedas y bicicletas (que incluso podr\u00edan no estar a la altura), simplemente toman el c\u00f3digo de bicicletas<\/span> ya preparadas de los repositorios de c\u00f3digo abierto de GitHub.<\/p>\n

Esta soluci\u00f3n est\u00e1 disponible para todos, incluidos los delincuentes que utilizan el mejor c\u00f3digo abierto gratuito del mundo<\/em> como cebo para sus ataques. Hay mucha evidencia que respalda esto, y esta es la \u00faltima: nuestros expertos han descubierto una campa\u00f1a maliciosa activa, GitVenom, dirigida a los usuarios de GitHub.<\/p>\n

\u00bfQu\u00e9 es GitVenom?<\/strong><\/h2>\n

GitVenom es el nombre que le hemos dado a esta campa\u00f1a maliciosa, en la que actores desconocidos crearon m\u00e1s de 200\u00a0repositorios que conten\u00edan proyectos falsos con c\u00f3digo malicioso: bots de Telegram, herramientas para piratear el juego Valorant, servicios de automatizaci\u00f3n de Instagram y administradores de carteras Bitcoin. A primera vista, todos los repositorios parecen leg\u00edtimos. El archivo README.MD est\u00e1 particularmente bien dise\u00f1ado: una gu\u00eda sobre c\u00f3mo trabajar con el c\u00f3digo, con instrucciones detalladas en varios idiomas. Adem\u00e1s de eso, los atacantes a\u00f1adieron m\u00faltiples etiquetas a sus repositorios.<\/p>\n

\"Los<\/a>

Los atacantes utilizaron IA para escribir instrucciones detalladas en varios idiomas<\/p><\/div>\n

Otro indicador que refuerza la aparente legitimidad de estos repositorios es la gran cantidad de commits. Los repositorios de los atacantes tienen decenas de miles. Por supuesto, los atacantes no actualizaban manualmente cada uno de los 200\u00a0repositorios para mantener la autenticidad, sino que simplemente utilizaban archivos con marcas de tiempo que se actualizaban cada pocos minutos. La combinaci\u00f3n de documentaci\u00f3n detallada y numerosos commits crea la ilusi\u00f3n de que el c\u00f3digo es genuino y se puede utilizar con seguridad.<\/p>\n

GitVenom: dos a\u00f1os de actividad<\/strong><\/h2>\n

La campa\u00f1a comenz\u00f3 hace mucho tiempo: el repositorio falso m\u00e1s antiguo que encontramos tiene aproximadamente dos a\u00f1os. Mientras tanto, GitVenom ha afectado a desarrolladores en Rusia, Brasil, Turqu\u00eda y otros pa\u00edses. Los atacantes cubrieron una amplia gama de lenguajes de programaci\u00f3n: se encontr\u00f3 c\u00f3digo malicioso en repositorios de Python, JavaScript, C, C# y C++.<\/p>\n

Respecto a la funcionalidad de estos proyectos, las caracter\u00edsticas descritas en el archivo README ni siquiera coinciden con el c\u00f3digo real; en realidad, el c\u00f3digo no hace ni la mitad de lo que afirma. Pero \u201cgracias\u201d a ello, las v\u00edctimas terminan descargando componentes maliciosos. Entre ellos:<\/p>\n