Investigación de estafas en Github: miles de "mods" y "cracks" que roban tus datos

 (timsh.org)
1 puntos por GN⁺ 2025-03-01 | 1 comentarios | Compartir por WhatsApp
  • En GitHub existen numerosos repositorios disfrazados como "mods" o "cracks" que en realidad son estafas para robar información sensible de la computadora de quien los descarga
  • Se promocionan usando nombres de programas y juegos populares como Roblox, Fortnite, FL Studio o Adobe Photoshop, como si fueran una "descarga gratis" o una "versión crackeada"
  • Al ejecutar estos archivos maliciosos, se activa malware de robo de información como Redox Stealer
  • La información robada se envía a servidores de Discord o a sitios para compartir archivos como Anonfiles, desde donde terminan robando billeteras cripto o cuentas de redes sociales
  • Estos repositorios se pueden encontrar fácilmente incluso con la búsqueda de GitHub, y se estima que la escala real es de al menos más de mil
  • En algunos casos hay issues públicos en GitHub advirtiendo que son "virus" o "malware", pero eso solo ocurre en cerca del 10% de los casos, por lo que muchos usuarios siguen expuestos al riesgo

TL;DR

  • Proceso de descubrimiento
    • En un foro relacionado con ingeniería social se encontró una guía concreta para llenar GitHub con repositorios maliciosos a gran escala
    • A partir de esa guía, también se rastrearon los repositorios creados directamente por los atacantes
  • Escala
    • Se encontraron más de 1,115 repositorios, y al menos 351 de ellos tenían una estructura sospechosa y una alta probabilidad de ser maliciosos
    • Menos del 10% de los repositorios habían sido advertidos mediante un issue, y la mayoría seguía viéndose normal
  • Características del malware
    • Parece pertenecer a la familia Redox Stealer y roba cookies, contraseñas, billeteras de criptomonedas, cuentas de juegos y otra información sensible de la computadora de la víctima mediante webhooks de Discord
    • Luego se envía en archivos comprimidos por medio de sitios para compartir archivos como Anonfiles, y se mandan enlaces posteriores por webhook para analizarlos y comerciarlos

Some background

  • Promoción con bots de Telegram
    • El autor encontró la promoción del foro en un mensaje de un bot de análisis de TikTok que había usado antes
    • En ese foro era posible registrarse solo con correo y contraseña, sin invitación especial ni acceso por Tor, y luego ver transacciones y guías ilegales
  • Características del foro
    • Su estructura permitía compartir libremente desde compraventa de cuentas, como TikTok, Instagram o Facebook Ads, hasta material sobre programas de "affiliate" usados para estafas
    • Había muchas estafas ya conocidas, como ransomware as a service (RaaS) o CryptoGrab, pero la guía para distribuir malware por GitHub resultó nueva e impactante
  • Redox Stealer
    • Es malware distribuido por Telegram y otros canales, y consiste en un script de Python relativamente simple
    • Está diseñado para recolectar en masa toda la información sensible que pueda encontrar en una PC y enviarla a un servidor de Discord

Cómo inundar Github de [tráfico] de la A a la Z

  • Obtención masiva de cuentas de GitHub
    • Compran cuentas por unos 1.5 dólares o crean varias por su cuenta para usarlas en los ataques
  • Método de subida de archivos maliciosos
    • Suben archivos empaquetados en .zip, .rar y otros formatos a GitHub, o colocan enlaces externos para compartir archivos en el README para evadir el análisis antivirus
  • Plantillas de README
    • Las preparan con capturas reales, videos y resultados de análisis de virustotal falsificados para generar confianza
    • También cambian ligeramente el texto del README con ayuda de ChatGPT y similares para evitar la detección por duplicados
  • Uso de etiquetas Topics
    • Aprovechan la función topic de GitHub para registrar repetidamente palabras clave como nombres de juegos, crack, hack, cheat, etc.
    • Así facilitan que aparezcan ante personas que buscan cosas como "crack gratis" en motores de búsqueda
    • Incluso explican cómo evitar topics prohibidos revisando si se trata de un banned topic

Análisis de Redox Stealer

  • Proceso de ejecución del archivo
    • Cuando el usuario descarga el repositorio y ejecuta el script malicioso, comienza la recolección de información interna de la PC
    • Entre los datos robados están la ip, geolocalización, nombre de usuario, cookies del navegador, contraseñas, cuentas de Discord, Telegram, Steam, Riot Games y archivos de billeteras de criptomonedas, entre muchos otros
  • Método de recolección
    • El malware copia temporalmente archivos de bases de datos sqlite para extraer cookies del navegador, contraseñas y tokens de Discord
    • También comprime y sube por separado archivos de extensiones cripto como Metamask y Exodus, además de información de cuentas de juegos como Steam y Riot Games
  • Transmisión de datos
    • Los archivos robados se suben a servicios para compartir archivos como Anonfiles, y sus enlaces o datos se envían al atacante mediante webhooks de Discord
    • El objetivo final es quedarse con cuentas que tengan valor de reventa, como las de criptomonedas o ítems de juegos, o con información financiera como tarjetas de crédito y PayPal

Búsqueda y hallazgos en GitHub

  • Estimación de escala
    • La guía indica que una sola persona, subiendo entre 300 y 500 repositorios, puede generar entre 50 y 100 o más registros de víctimas por día
    • En la práctica, es muy probable que varias personas estén operando este esquema al mismo tiempo, así que existen muchos más repositorios maliciosos
  • Script PoC (Proof of Concept)
    • El autor combinó las palabras clave propuestas por la guía, como "fortnite hack" o "roblox cheat", y usó la API de búsqueda de GitHub para rastrear repositorios automáticamente
    • Al revisar unas 2,100 palabras clave de topics, se identificaron 1,155 repositorios
    • De ellos, se consideró que 351 tenían alta probabilidad de ser maliciosos por su README y por la estructura de archivos .rar o .zip
  • Problemas
    • Menos del 10% de los repositorios tenían un issue que advirtiera "esto es malicioso", por lo que la función de alerta para usuarios es insuficiente
    • Existe un alto riesgo de que muchos usuarios los ejecuten creyendo que se trata de software legítimo

Conclusion

  • Información ilegal en línea
    • Existen foros accesibles fácilmente desde la web común, sin Tor ni invitaciones especiales
    • En ellos se comparten activamente distintos tipos de estafas, como ransomware o crypto drainers
  • La simplicidad de Redox Stealer
    • Con solo unos cientos o miles de líneas de código en Python, recolecta de forma automática una gran cantidad de información y la envía al atacante
    • Como no requiere una dificultad técnica alta, es fácil distribuirlo masivamente
  • Necesidad de respuesta por parte de GitHub
    • Incluso repositorios cuyo carácter malicioso ya fue expuesto en issues siguen muchas veces sin ser retirados
    • Parece necesario que GitHub implemente monitoreo y bloqueo más activos para reducir el daño
  • Cierre
    • Al intentar descargar cracks de juegos o programas, hay que revisar con mucho cuidado si son de código abierto y si pasaron controles antivirus
    • El autor adelanta un análisis de seguimiento sobre más estafas y anuncios fraudulentos

Resumen

  • Malware distribuido usando GitHub: la mayoría usa nombres como "gratis", "crack" o "mod", pero en realidad incluye Redox Stealer
    • Redox Stealer es fácil y simple, por lo que cualquiera puede distribuirlo en masa con facilidad
  • Principales objetivos: billeteras de criptomonedas, cuentas de Steam/Riot Games, PayPal, Facebook, Twitter y una amplia variedad de credenciales
  • Medidas de prevención
    • Descargar solo desde fuentes confiables
    • Revisar cuidadosamente enlaces sospechosos o README dudosos
    • Verificar GitHub Issues, calificaciones y reseñas de otros usuarios
    • Mantener antivirus y parches de seguridad actualizados
  • Expansión del scam basado en foros
    • Gracias a la baja barrera de entrada, cualquiera puede conseguir la guía y distribuir scripts maliciosos
    • Un solo atacante puede comprar varias cuentas y subir cientos de repositorios para expandir la campaña
  • Responsabilidad de GitHub y de la comunidad de seguridad
    • Hace falta reforzar los sistemas para identificar y bloquear repositorios maliciosos
    • También es indispensable elevar la conciencia de los usuarios comunes
  • En este contexto, siempre hay que desconfiar de los repositorios de GitHub que ofrecen "cracks" o "mods" gratis
  • En la hoja de cálculo (ver enlace) hay una lista de más de 1,000 repositorios sospechosos recopilados por el autor
  • Todo el malware está conectado a un objetivo único: el beneficio económico, con una distribución rápida y a gran escala como característica

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-03-01
Comentarios de Hacker News

  • Microsoft tiene un problema general para eliminar cosas no deseadas de su ecosistema

    • El portal feedback.azure.com está lleno de comentarios y enlaces de spam y malware
    • Ni siquiera los equipos internos pueden encontrar a alguien que lo resuelva

  • Notifican sobre sistemas recién comprometidos a través de webhooks de Discord

    • Discord responde rápido a los reportes de abuso
    • Si alguien escribiera un script simple para extraer los enlaces de webhook, podría lograr que suspendan las cuentas
    • Por experiencia pasada, Discord ha sido agresivo al suspender cuentas de personas involucradas en fines ilegales

  • Microsoft tiene parte de la responsabilidad

    • Windows Defender genera advertencias de "Win32/Keygen" incluso cuando no hay malware real
    • Eso entrena a los usuarios a desactivar el antivirus
    • Los falsos positivos crean un mercado donde se ignoran las detecciones reales

  • Pregunta sobre por qué habría que eliminar los repositorios de malware

    • El repositorio en sí no hace daño y tiene valor para investigación
    • Aunque GitHub lo elimine, se distribuirá por otros medios
    • Un banner como "¡Advertencia! Este repositorio podría no hacer lo que dice" podría ser más apropiado

  • Dato curioso: si encuentras un webhook de Discord, puedes eliminarlo

    • usar el comando curl -X DELETE

  • El soporte de Microsoft es trágicamente malo

    • GitHub está lleno de issues abiertos sin respuesta durante años
    • El soporte técnico de Azure también es muy malo
    • Hay muchas historias de terror en línea sobre perder acceso a la cuenta y no poder recuperarla

  • La raíz del problema es que las aplicaciones no están aisladas a nivel del sistema operativo

    • Instalar un mod de Minecraft no debería darle acceso a otros archivos de la computadora
    • Si abres una hoja de cálculo en Excel, solo debería poder acceder a ese archivo y a los archivos de configuración
    • Como en Android, las apps deberían tener que pedir acceso a los archivos de forma explícita

  • Gran duda sobre la efectividad del sistema de reportes de abuso de GitHub

    • Si más de 1,000 repositorios maliciosos pueden seguir activos durante meses, quizá falte escaneo automático o se dependa demasiado de reportes de usuarios

  • Le pidieron ayuda para instalar mods de Plants vs. Zombies

    • Encontró varios mods descargables desde repositorios de GitHub, pero no los descargó porque no parecían confiables
    • Ahora cree que probablemente era el tipo de malware que describía el autor

  • Si encuentras malware en un repositorio de GitHub, puedes reportarlo directamente mediante la página de Abuse Report

    • GitHub elimina repositorios que violan la Acceptable Use Policy
    • El tiempo de respuesta puede variar
    • Si el malware se está usando activamente, también podría valer la pena reportarlo a una organización de seguridad o a un equipo CERT