- ArcticWolf descubre 292 repositorios maliciosos de GitHub que falsifican herramientas y productos legítimos y ofrece una nueva variante de robo de información de BoryptGrab
- El malware roba 19 navegadores, 32 billeteras criptográficas, aplicaciones de mensajería, Steam y Windows Credential Manager y evita de manera única el cifrado vinculado a aplicaciones de Chrome mediante la inyección de código.
- La mayoría de los repositorios han sido eliminados, pero algunos permanecen activos; La popularidad de GitHub lo convierte en un objetivo principal, lo que subraya la necesidad de examinar el código antes de usarlo.
Según se informa, los actores rusos han creado cientos de repositorios maliciosos de GitHub haciéndose pasar por software legítimo pero actuando como una información estelar peligrosa.
Los investigadores de ciberseguridad descubrieron la campaña después de hacerse pasar por sus propios productos como parte del ataque ArcticWolf.
En total, los investigadores encontraron 292 repositorios, productos de seguridad, herramientas de desarrollo, utilidades de macOS, juegos y más cosas falsas. Cada repositorio contiene un archivo README con una URL de descarga
Obviamente corrupto
Las víctimas que descargan el programa obtienen una variante de la familia de robo de información BoryptGrab que recopila datos de 19 navegadores (contraseñas, cookies, información de pago), 32 billeteras de criptomonedas, sesiones de Telegram, Discord y Steam, credenciales de Meta’s Max, datos de Windows Credential Manager y más. Puede extraer archivos y capturar capturas de pantalla del escritorio y documentos.
Si bien la mayoría de las funciones se encuentran en otras variantes de BoryptGrab, es único en el sentido de que puede evitar el cifrado vinculado a aplicaciones de Chrome inyectando código directamente en el proceso del navegador.
Aunque no se indica específicamente que los actores de la amenaza sean rusos, los datos comprimidos se envían luego a la infraestructura de comando y control (C2) con sede en Rusia.
Lo que vale la pena mencionar es que el malware no está diseñado para durar. No tiene una capa anti-análisis y ni siquiera intenta ocultarse de ninguna manera en particular. No persiste e intenta capturar la mayor cantidad de datos confidenciales posible en el primer intento.
El ataque, que parece haber comenzado en los últimos días de junio, no ha tenido éxito, ya que la mayoría de los repositorios maliciosos han sido eliminados de GitHub. Para citar a “investigadores”, Computadora pitando Sin embargo, se ha informado que varias docenas todavía están activas.
Debido a su importancia y popularidad en la comunidad de código abierto, GitHub es actualmente una de las plataformas más específicas en Internet, por lo que es importante verificar y probar cada fragmento de código antes de aplicarlo a un proyecto.

El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.