Una campaña sofisticada está dirigida a piratas informáticos, jugadores e investigadores con código fuente trasero distribuido a través de repositorios de GitHub. El código malicioso, oculto en proyectos a menudo anunciados como hazañas, bots o trucos de juegos, otorga a los atacantes acceso remoto a dispositivos infectados.
La operación fue descubierta por investigadores de Sophos mientras investigaba “Sakura Rat”, un troyano de acceso remoto, según los informes, disponibles en Github. Su análisis reveló que el código de rata Sakura en sí era en gran medida no funcional. Sin embargo, el proyecto Visual Studio contenía un prebuildevent malicioso diseñado para descargar e instalar malware cuando los usuarios intentaron compilar el código.
Una investigación adicional vinculó al editor “ISCHHFD83” a una red de 141 repositorios de GitHub. De estos, se descubrió que 133 contenían puertas traseras ocultas, lo que indica un esfuerzo coordinado para distribuir malware.
Los métodos utilizados para incrustar las puertas traseras varían, incluidos los scripts de Python con cargas útiles ofuscadas, archivos de pantalla de pantalla maliciosa (.SCR) que utilizan trucos unicode, archivos JavaScript que contienen cargas útiles codificadas y eventos de prebuild de estudio visual malicioso. Si bien algunos repositorios fueron abandonados a fines de 2023, muchos permanecen activos con compromisos automatizados diseñados para crear una falsa sensación de legitimidad y actividad. Estos flujos de trabajo automatizados dan como resultado recuentos de confirmación inusualmente altos; Un proyecto creado en marzo de 2025 tenía casi 60,000 confirmaciones, con el promedio en todos los repositorios en 4,446 en el momento de la recopilación de datos inicial de Sophos.
Cada repositorio presentó consistentemente a tres contribuyentes. También se emplearon diferentes cuentas de editores, sin una sola cuenta que administró más de nueve repositorios. El tráfico a estos repositorios maliciosos está impulsado por la promoción en los foros de YouTube, Discord y Cibercrime. Se cree que la atención de los medios que rodea a Sakura Rat, específicamente, ha atraído a los usuarios desprevenidos para buscarla en Github.
Cuando una víctima descarga estos archivos, simplemente ejecutar o construir el código desencadena un proceso de infección en varias etapas. Este proceso implica la ejecución de scripts VBS, seguido de PowerShell descargando una carga útil codificada de URL codificadas. Esto lleva a la obtención de un archivo de 7zip de GitHub y la ejecución de una aplicación de electrones llamada ‘SearchFilter.exe’. Esta aplicación de electrones contiene un archivo agrupado con archivos ‘JS’ y de ‘Js’ y de ‘JS’ fuertemente ofuscados. Estos archivos incluyen código para perfilar el sistema, ejecución de comandos, deshabilitar el defensor de Windows y recuperar cargas útiles adicionales.
Las cargas útiles secundarias descargadas por la puerta trasera incluyen conocidos robadores de información y troyanos de acceso remoto como Lumma Stealer, Asyncrat y REMCO, todos equipados con amplias capacidades de robo de datos.
Mientras que una parte de los repositorios troyanizados se dirige a otros piratas informáticos, una amplia gama de señuelos, incluidos trucos de juegos, herramientas modificadas y exploits falsas, también se utilizan para atrapar a jugadores, estudiantes e incluso investigadores de seguridad cibernética.
Dada la facilidad con la que cualquiera puede cargar el código fuente en GitHub, se recomienda encarecidamente a los usuarios que examinen cuidadosamente el código fuente y verifiquen cualquier evento previo y post-construcción dentro de proyectos antes de compilar software descargado de repositorios de código abierto.
Source: Los repositorios de GitHub distribuyen malware a los jugadores y hackers
