[27/02/2025] El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) descubrió cientos de repositorios de código abierto con malware multiplataforma dirigido a jugadores y criptoinversores dentro de una nueva campaña bautizada por Kaspersky como GitVenom. Según lo señalado en el comunicado de prensa, los proyectos infectados incluyen un instrumento de automatización para interactuar con cuentas de Instagram, un bot de Telegram que permite la gestión remota de monederos Bitcoin, y una herramienta de crack para jugar al juego Valorant.
"Todas estas supuestas funcionalidades de los proyectos eran falsas, y los ciberdelincuentes que estaban detrás de la campaña robaron datos personales y bancarios, y secuestraron direcciones de criptocarteras del portapapeles. Como resultado de la actividad maliciosa, los ciberdelincuentes pudieron robar cinco Bitcoins (unos 485 mil dólares en el momento de la investigación). Kaspersky detectó el uso de los repositorios infectados en todo el mundo, con la mayoría de los casos en Brasil, Turquía y Rusia”, sostuvo Georgy Kucherin, investigador de seguridad de Kaspersky GReAT..
El investigador explicó que estos repositorios llevan varios años almacenados en GitHub, una plataforma que permite a los desarrolladores gestionar y compartir su código. "Los atacantes se esforzaron por hacer que los repositorios en GitHub parecieran legítimos a los objetivos potenciales mediante el uso de descripciones de proyectos atractivas que probablemente han sido generadas con IA. Si se lanzaba el código de estos repositorios, el dispositivo de la víctima se infectaba con malware y podía ser controlado remotamente por los atacantes”.
Aunque los proyectos estaban escritos en múltiples lenguajes de programación -Python, JavaScript, C, C++ y C#-, las cargas útiles maliciosas almacenadas dentro de los proyectos infectados tenían el mismo objetivo: descargar otros componentes maliciosos de un repositorio de GitHub controlado por el atacante y ejecutarlos, señaló Kucherin. "Estos componentes incluyen un ladrón que recopila contraseñas, información de cuentas bancarias, credenciales guardadas, datos de carteras de criptomonedas e historial de navegación, los empaqueta en un archivo .7z y los sube a los atacantes a través de Telegram”.
El investigador añadió que otros componentes maliciosos descargados incluyen herramientas de administración remota que pueden utilizarse para supervisar y controlar a distancia el ordenador de la víctima a través de una conexión cifrada segura, y un secuestrador del portapapeles que busca en el contenido del portapapeles direcciones de monederos de criptomonedas y las sustituye por otras controladas por el atacante. "Cabe destacar que el monedero Bitcoin controlado por el atacante recibió una suma de unos 5 BTC (aproximadamente 485 mil dólares en el momento de la investigación) en noviembre del 2024”.
Franca Cavassa, CTOPerú