Investigador identifica 10.000 repositorios en GitHub que distribuyen troyanos

Fuentes: How I found 10,000 GitHub repositories distributing Trojan malware

Un investigador de seguridad detectó una red de aproximadamente 10.000 repositorios en GitHub, creados por distintos usuarios y no derivados de otros proyectos, que distribuyen de forma encubierta un troyano dentro de un archivo zip. El hallazgo comenzó cuando, al buscar su propio proyecto en buscadores, encontró una copia idéntica con un enlace añadido al archivo Léame. Monitorizó los repositorios y comprobó que cada pocas horas los atacantes borran el commit anterior y publican uno nuevo que solo modifica el Léame para incluir el enlace malicioso, con el mensaje estándar "Update README.md". Cada zip contiene cuatro archivos ejecutables, como un .cmd y un .exe, que VirusTotal no marca como maliciosos al analizarlos por separado, aunque el archivo comprimido sí es detectado como troyano. Tras dos meses sin respuesta, soporte de GitHub eliminó los dos primeros casos reportados. El investigador diseñó un patrón de detección y un script basado en los eventos públicos de GitHub, localizando 40.000 repositorios actualizados entre 1 y 24 veces al día, de los cuales 10.000 cumplían el patrón completo. Algunos llevan activos más de un año sin ser bloqueados. La hipótesis principal es que los atacantes clonan repositorios nuevos para posicionarlos en búsquedas poco competidas, copiando el historial de commits para aparentar legitimidad y eludir los controles automáticos de la plataforma.