GitHub, la plataforma de código más grande del mundo, se ha convertido en un campo minado. Investigadores de seguridad han alertado sobre una campaña masiva de repositorios maliciosos que se disfrazan de herramientas útiles para engañar a desarrolladores, investigadores y curiosos.
El Gancho: Lo que está de moda
Los atacantes saben exactamente qué busca la gente. Los repositorios falsos prometen herramientas para los temas más “calientes” del momento:
- Herramientas OSINT: Software para investigar perfiles en redes sociales o rastrear huellas digitales.
- Utilidades GPT/AI: Scripts para hacer “Jailbreak” a ChatGPT, generar imágenes gratis o acceder a modelos de IA premium sin pagar.
- Bots de Criptomonedas: Programas que prometen ganancias automáticas o “snipers” para comprar tokens nuevos.
La Estafa
El repositorio parece legítimo. Tiene una descripción profesional, instrucciones de instalación y, a veces, cientos de “estrellas” (que en realidad son falsas, compradas por bots). Sin embargo, cuando el usuario descarga el código y ejecuta el comando de instalación (generalmente pip install -r requirements.txt o python main.py), se desata el infierno.
Oculto entre líneas de código aparentemente normales, se encuentra un script que descarga un InfoStealer (ladrón de información). Este malware roba en segundos las cookies del navegador, contraseñas guardadas, tokens de Discord y billeteras de criptomonedas, enviando todo a los servidores del atacante.
¿Por qué caen los expertos?
Este ataque es brillante porque apunta al ego y la confianza del usuario técnico. Pensamos: “Es código abierto, si fuera un virus lo vería”. Pero la realidad es que casi nadie audita las 5,000 líneas de código de una herramienta antes de ejecutarla. Los atacantes usan técnicas de ofuscación o esconden el código malicioso dentro de dependencias externas que se descargan durante la instalación.
La señal de alerta: “Star Jacking” y Perfiles Nuevos
Una técnica común que usan es inflar artificialmente la popularidad del repositorio.
- Consejo: Antes de descargar una herramienta, mira el perfil del creador. ¿La cuenta fue creada hace 3 días, pero el repositorio tiene 500 estrellas? Es una estafa. Las estrellas reales tardan meses o años en acumularse.
Cómo protegerse en GitHub
- Nunca en tu máquina principal: No ejecutes código desconocido en la computadora donde tienes tus accesos bancarios o del trabajo.
- Usa Máquinas Virtuales (VM): Prueba estas herramientas siempre en un entorno desechable (Sandbox) o una máquina virtual. Si es un virus, solo borras la VM y no pierdes nada.
- Revisa el código crítico: Echa un vistazo rápido a archivos como setup.py, __init__.py o scripts oscuros antes de ejecutarlos. Busca conexiones a internet extrañas o descargas de archivos .exe o .dll.
