• 2 min de lectura
292 repositorios falsos en GitHub distribuyeron un sigiloso infostealer
ArcticWolf encontró 292 repositorios en GitHub que se hacían pasar por software real para propagar una variante de BoryptGrab que roba datos de navegadores, carteras y aplicaciones.

Imagen: TechRadar
ArcticWolf afirma haber encontrado 292 repositorios maliciosos en GitHub que se hacían pasar por proyectos de software legítimos y distribuían una nueva variante del infostealer BoryptGrab.
La campaña suplantó una amplia gama de software, incluidos productos de seguridad, herramientas para desarrolladores, utilidades de macOS y juegos. Según el informe, los atacantes incluso se hicieron pasar por productos de ArcticWolf. Cada repositorio incluía un README que dirigía a las víctimas a una URL de descarga.
Una vez instalado, el malware intenta recoger datos rápidamente en lugar de permanecer en el sistema. ArcticWolf dijo que la carga útil puede robar información de 19 navegadores, incluidas contraseñas, cookies y datos de pago, además de datos de 32 carteras de criptomonedas, Telegram, Discord, sesiones de Steam, credenciales de Meta’s Max y el Windows Credential Manager. También puede exfiltrar archivos de Desktop y Documents y capturar capturas de pantalla.

Recomendado
Google respalda proyecto solar de 1,8 GW en Arkansas
Lo que diferencia a esta variante de otras muestras de BoryptGrab, según los investigadores, es su capacidad para eludir la App-Bound Encryption de Chrome inyectando código directamente en el proceso del navegador.
El malware parece diseñado para robos rápidos ('smash-and-grab'), no para la persistencia a largo plazo. TechRadar informa que no tiene una capa anti-análisis, no se oculta de forma significativa y no establece persistencia; en su lugar intenta recopilar la mayor cantidad posible de datos sensibles en su primera ejecución.
La campaña parece haber comenzado en los últimos días de junio. La mayoría de los repositorios maliciosos han sido eliminados de GitHub desde entonces, pero BleepingComputer, citando a los investigadores, afirmó que varias docenas seguían activas. Aunque los actores de la amenaza no fueron identificados explícitamente como rusos, según se informó los datos robados se enviaron a una infraestructura de mando y control con base en Rusia.
El incidente es otro recordatorio de lo atractivo que se ha vuelto GitHub para los atacantes. Su papel central en el ecosistema de código abierto significa que los desarrolladores deben verificar cuidadosamente los repositorios antes de descargar código o binarios.
Culture Editor
Maya explores gaming, streaming, and the internet as a place where people actually live. From deep-dives into creator economies to the anthropology of digital communities, she tracks platform drama and cultural shifts so you don't have to. She believes the best tech stories are fundamentally about human behavior.
vía TechRadar


