Si una herramienta es tan útil que nadie se atreve a bloquearla, será un imán para los atacantes. Eso es lo que pasa con lo que Github: Repositorios públicos, archivos camuflados y cargas maliciosas que pasan desapercibidas en entornos corporativos. Cisco Talos ha descubierto una campaña que lo demuestra.
La campaña, que había estado activa desde febrero de 2025, no fue un experimento aislado. Fue una operación bien estructurada basada en el modelo de malware como servicio (MAAS), en la que se venden herramientas de ataque como los servicios en la nube. En este caso, los operadores usaron GitHub para distribuir malware en enlaces aparentemente inofensivos.
Cuando el código malicioso está oculto a la vista
“En muchos entornos, una descarga maliciosa de Github parece ser Tráfico normal» Explica el investigador de Taslos. Y está el problema: los actores detrás de esta campaña sabían cómo moverse entre legítimo y dañino, sin sospecha, y usaron la plataforma de Microsoft como un canal de distribución encubierto.
El proceso comenzó con Emmenhtal, un cargador que actúa de acuerdo con las capas. Tres de ellos fueron el único responsable de ocultar el código. Solo al final del proceso había un script en PowerShell, que contactó una dirección remota para descargar la carga útil real.
Esta carga útil fue AmadidoMalware conocido en los foros de discurso rusos desde 2018. Su función principal es recopilar información del sistema infectado y Descargar archivos adicionales Dependiendo del perfil del equipo. Lo más llamativo es que estos archivos no se han realizado
Una de las cuentas más activas fue Legendary9999. En él, se encontraron más de 160 repositorios con nombres aleatorios, cada uno de los cuales fue alojado en su sección «Sección de publicación» Un solo archivo maligno «. Desde allí, los atacantes podrían enviar enlaces directos a las víctimas como si fuera otra descarga legítima.
Legendary999 no fue un caso aislado. Talos identificó otras cuentas como Milidmdds o Dffe9ewf, que siguió un patrón similar: nombres aleatorios, Repositorio con apariencia inofensiva, Pero desarrollado para llevar a cabo cargas maliciosas. En general, se encontraron patrones de malware como Rhadamanthys, Lumma, Redline o incluso herramientas legítimas como Putty y Selenium WebDriver.
La operación siempre fue la misma: tan pronto como el dispositivo estaba infectado, Amadey descargó el archivo requerido de GitHub de acuerdo con los requisitos de cada operador. La más sorprendente es la flexibilidad del proceso: desde el acceso remoto, los trójanos como Asyn Crossing hasta scripts que están disfrazados de archivos MP4 o incluso código Python con funciones ocultas.
Github actuó rápidamente. Tan pronto como Talos notificó los resultados, lLas cuentas han sido eliminadas. Sin embargo, el problema no parece ser la plataforma, sino la estrategia detrás de su uso: usar servicios legítimos y necesarios para ocultar actividades maliciosas.
Fotos | con Géminis 2.5 Flash | Titular
En | El fraude «Hijo en apresurado» había estado causando caos en toda España durante años. La policía finalmente lo desmonta