Cuando una herramienta es tan útil que nadie se atreve a bloquearla, se convierte en un imán para los atacantes. Eso es lo que esta pasando con Github: Repositorios públicos, archivos camuflados y cargas maliciosas que pasan desapercibidas en entornos corporativos. Cisco Talos ha descubierto una campaña que lo demuestra.
La campaña, activa desde febrero de 2025, no fue un experimento aislado. Era una operación bien estructurada basada en el modelo de malware como servicio (MAAS), en el que las herramientas de ataque se venden como si fueran servicios en la nube. En este caso, los operadores usaron GitHub para distribuir malware a través de enlaces aparentemente inofensivos.
Cuando el código malicioso se esconde a la vista completa
“En muchos entornos, puede parecer una descarga maliciosa de Github Tráfico normal» Los investigadores de Talos explican. Y está el problema: los actores detrás de esta campaña sabían cómo moverse entre lo legítimo y lo dañino sin elevar sospechas, utilizando la plataforma propiedad de Microsoft como un canal de distribución encubierto.
El proceso comenzó con Emmenhtal, un cargador diseñado para actuar por capas. Tres de ellos fueron exclusivamente responsables de ocultar el código. Solo al final del proceso se ejecutó un script en PowerShell que contactó una dirección remota para descargar la carga útil real.
Esa carga útil fue AmadidoUn malware conocido desde 2018 en foros de habla rusa. Su función principal es recopilar información del sistema infectado y Descargar archivos adicionales dependiendo del perfil del equipo. Lo más llamativo es que estos archivos no
Una de las cuentas más activas fue Legendary99999. En él, se detectaron más de 160 repositorios con nombres aleatorios, cada uno alojando un solo archivo malicioso en su sección de lanzamiento. A partir de ahí, los atacantes podrían enviar enlaces directos a las víctimas, como si fuera cualquier otra descarga legítima.
Legendary9999 no fue un caso aislado. Talos identificó otras cuentas, como Milidmdds o Dffe9ewf, que siguió un patrón similar: nombres aleatorios, repositorios con apariencia inofensiva, pero diseñado para ejecutar cargas maliciosas. En total, se detectaron muestras de malware como Rhadamanthys, Lumma, Redline o incluso herramientas legítimas como Putty y Selenium WebDriver.
La operación siempre fue la misma: una vez que el equipo estaba infectado, Amadey descargó el archivo necesario de GitHub, de acuerdo con las necesidades de cada operador. La más sorprendente es la flexibilidad de la operación: desde troyanos de acceso remoto como Asyncrat, hasta scripts disfrazados de archivos MP4 o incluso código Python con funciones ocultas.
Github actuó rápidamente. Tan pronto como Talos notificó los hallazgos, lLas cuentas fueron eliminadas. Pero el problema no parece ser la plataforma Sí, pero la estrategia detrás de su uso: aprovechar los servicios legítimos y necesarios para ocultar actividades maliciosas.
Imágenes | con Géminis 2.5 Flash | Talón
En | La estafa de «Hijo con prisa» había estado causando estragos en toda España durante años. La policía finalmente lo está desmantelando
