- Kaspersky encuentra 15 repositorios maliciosos de GitHub que se hacen pasar por exploits de prueba de concepto, algunos diseñados con Gen AI
- Las víctimas reciben un ZIP con señuelos y un cuentagotas (rasmanesc.exe) que instala WebRAT backdoor/infostealer
- GitHub eliminó los repositorios, pero los usuarios infectados deben erradicar manualmente WebRAT y tener cuidado con los paquetes con errores tipográficos.
Los ciberdelincuentes ahora se dirigen a investigadores de seguridad (y posiblemente a otros delincuentes) a través de malwareLos expertos han advertido que están cargados de exploits de prueba de concepto falsos alojados en repositorios populares.
Los investigadores de ciberseguridad Kaspersky dijeron que encontraron 15 repositorios maliciosos alojados en GitHub. Estos repositorios, aparentemente creados con la ayuda de Inteligencia Artificial Generativa (Gen AI), afirmaban proporcionar un exploit para múltiples vulnerabilidades descubiertas y reportadas en los medios.
Entre ellos se encuentra un error de desbordamiento del búfer basado en montón en Windows MSHTML/Internet Explorer, una omisión de autenticación crítica en el complemento de inicio de sesión sin contraseña OwnID para WordPress y una falla de elevación de privilegios en el Administrador de conexión de acceso remoto de Windows.
Puerta trasera y ladrón de información
Las víctimas que descargan paquetes encuentran un archivo ZIP protegido con contraseña con un archivo vacío, un archivo DLL falso que sirve como señuelo, un archivo por lotes y un gotero malicioso llamado rasmanesc.exe.
Este dropper eleva sus privilegios, desactiva Windows Defender y luego descarga el malware WebRAT.
WebRAT es principalmente una puerta trasera, pero también funciona como un ladrón de información. Los investigadores de seguridad dijeron que puede robar credenciales de inicio de sesión para cuentas de Steam, Discord y Telegram, así como información de cualquier billetera de criptomonedas y complementos del navegador que la víctima pueda haber instalado. También puede utilizar la cámara web para espiar a sus víctimas y realizar capturas de pantalla.
La campaña parece haber comenzado en septiembre de 2025, por lo que ya lleva unos meses activa. Sin embargo, GitHub ha eliminado todos los repositorios maliciosos.
Aún así, las víctimas que ya descargaron los paquetes no estarán seguras hasta que eliminen cualquier rastro de WebRAT de sus sistemas. Además, deben tener cuidado al descargar paquetes adicionales, ya que es posible que haya más que aún no se hayan descubierto.
Debido a su tamaño y popularidad en la comunidad de desarrollo de software y ciberseguridad, GitHub es un objetivo importante para los ciberdelincuentes, que a menudo intentan introducirse en los dispositivos de las personas.
A través de pitidocomputadora
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, reseñas y opiniones de nuestros expertos en sus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto también puedes sigue a TechRadar en TikTok para noticias, reseñas, unboxings en forma de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
