Ciberdelincuentes explotan peculiaridades de diseño en GitHub y utilizan publicidad engañosa para infectar a desarrolladores con un instalador falso que detecta y evade sandboxes de análisis.
La herramienta en la que confían millones de desarrolladores para gestionar su código se ha convertido en el vector de infección. Hoy 27 de enero de 2026, una campaña altamente sofisticada donde actores de amenazas han logrado clonar y manipular la distribución del instalador de GitHub Desktop, engañando a usuarios en Europa y Japón para que instalen malware en lugar de la herramienta oficial.
Investigadores han revelado que los atacantes no solo crearon una página falsa, sino que abusaron de la propia arquitectura de GitHub (forks y commits) para dar legitimidad a sus descargas maliciosas.
El Modus Operandi: “Repo Squatting” y Publicidad
El ataque combina ingeniería social con trucos técnicos de la plataforma:
- El Fork Malicioso: Los atacantes crean cuentas desechables y hacen un “Fork” (copia) del repositorio oficial de GitHub Desktop.
- La Modificación: Editan el archivo README.md del fork para reemplazar los enlaces de descarga legítimos por enlaces a su propio servidor malicioso.
- La Trampa de Visibilidad: Explotan una peculiaridad de diseño de GitHub: incluso si el repositorio original borra el fork o el usuario es eliminado, los “commits” (cambios) maliciosos pueden permanecer visibles y accesibles bajo el espacio de nombres del repositorio oficial si se enlazan correctamente, una técnica conocida como Repo Squatting.
- Promoción: Utilizan anuncios patrocinados en buscadores para términos como “GitHub Desktop Download”, dirigiendo a las víctimas a estos repositorios manipulados que parecen 100% oficiales.
El Malware: “GPUGate” y Evasión Avanzada
El archivo descargado, GitHubDesktopSetup-x64.exe (127 MB), es una obra maestra de la evasión. A simple vista parece una aplicación C++ estándar, pero en realidad es un contenedor .NET malicioso.
Lo más alarmante es su técnica de anti-análisis, bautizada como GPUGate:
- Detección de Hardware Real: El malware utiliza la API OpenCL para verificar si el equipo tiene una tarjeta gráfica (GPU) real.
- ¿Por qué? La mayoría de las “Sandboxes” de seguridad y máquinas virtuales que usan los analistas de antivirus no tienen GPUs dedicadas ni drivers OpenCL instalados.
- El Resultado: Si el malware no detecta una GPU real (indicando que está en un entorno de análisis), no se ejecuta, permaneciendo inerte y benigno. Si detecta hardware real (el PC de un desarrollador), despliega su carga útil oculta.
Impacto y Alcance
La campaña ha estado activa principalmente entre septiembre y octubre de 2025, pero sigue evolucionando. Además de GitHub Desktop, se han encontrado variantes que suplantan instaladores de Chrome, Notion, 1Password y Bitwarden. El objetivo final suele ser el despliegue de Infostealers (ladrones de información) para robar credenciales de repositorios, claves SSH y tokens de acceso a la nube, lo que podría desencadenar ataques de cadena de suministro masivos.
Cómo protegerse
- Verificar la URL: Asegúrate siempre de estar en el repositorio raíz oficial (github.com/desktop/desktop) y no en un fork o una URL similar.
- Descargas Oficiales: Descarga las herramientas directamente desde la página web del producto (desktop.github.com) en lugar de buscar enlaces en repositorios o anuncios de Google.
- Firmas Digitales: Antes de ejecutar cualquier instalador, haz clic derecho en el archivo > Propiedades > Firmas Digitales. Verifica que esté firmado por “GitHub, Inc.” y que el certificado sea válido.
