La cadena de suministro de software sufre un asalto silencioso. Ciberdelincuentes están robando tokens de desarrolladores para inyectar malware indetectable utilizando tácticas avanzadas de Git y criptomonedas.
El ecosistema de desarrollo de código abierto se enfrenta a una amenaza sin precedentes por su nivel de sofisticación. Este 16 de marzo de 2026, se reporta la preocupante escalada de la campaña de malware GlassWorm, la cual utiliza tokens de GitHub robados para inyectar código malicioso en cientos de repositorios de Python de forma totalmente sigilosa.
Se advierte que la amenaza apunta directamente a proyectos críticos. Las víctimas incluyen repositorios que alojan aplicaciones de Django, código de investigación de Machine Learning, paneles interactivos de Streamlit y paquetes distribuidos a través de PyPI.
La Táctica Invisible: El “Force-Push” Fantasma
Lo que hace a este ataque excepcionalmente peligroso es la forma en que los criminales borran sus huellas alterando la propia línea de tiempo del código fuente:
- Primero, los piratas informáticos comprometen el sistema del desarrollador mediante extensiones maliciosas de VS Code y Cursor que están diseñadas para robar directamente los tokens de acceso de GitHub.
- Utilizando estas credenciales, los atacantes reescriben el historial (rebase) en la rama principal (default branch) del repositorio, inyectando su malware ofuscado en archivos clave de ejecución como setup.py, main.py o app.py.
- Finalmente, realizan un empuje forzado (force-push) de los cambios hacia la nube.
- Esta agresiva técnica de Git preserva intacto el mensaje original del commit, el autor legítimo y la fecha exacta, sin dejar absolutamente ningún rastro visible de un Pull Request o un nuevo commit en la interfaz de usuario de GitHub.
Como resultado, cualquier usuario o sistema automatizado que ejecute un simple pip install desde un repositorio comprometido, o que clone y ejecute el código, detonará el malware inmediatamente.
Evasión Rusa y la Billetera de Solana
La carga útil maliciosa, la cual viaja codificada en Base64 al final de los archivos de Python, incluye comprobaciones de seguridad del sistema sumamente particulares. Si el malware detecta que el equipo infectado tiene configurada su región local en ruso, la amenaza se desactiva de inmediato y omite la ejecución.
En caso contrario, el ataque procede utilizando una técnica de evasión altamente innovadora anclada en la Web3:
- El malware se conecta a la red de bloques y consulta el campo de notas de transacción (memo field) de una billetera específica de la criptomoneda Solana para extraer dinámicamente la URL de su servidor de Comando y Control (C2).
- Tras obtener esta dirección, descarga módulos adicionales (incluyendo código JavaScript fuertemente encriptado) que están diseñados de manera exclusiva para robar criptomonedas y exfiltrar datos del desarrollador víctima.
Los investigadores de otras firmas de ciberseguridad, han rastreado esta misma infraestructura en Solana hasta campañas pasadas de GlassWorm. Dichas campañas anteriores infectaron más de 151 repositorios utilizando caracteres Unicode invisibles, demostrando que este grupo criminal está refinando rápidamente sus vectores de entrega para la toma de control masiva de cuentas de GitHub.
