- Campañas de malware-as-a-service aprovechan la infraestructura legítima de GitHub para distribuir amenazas.
- Los atacantes utilizan cuentas falsas y repositorios públicos para alojar cargas maliciosas difíciles de identificar.
- Malware como Amadey, Lumma y Redline se distribuyen a través de scripts ofuscados y herramientas disfrazadas de software legítimo.
- GitHub responde rápidamente al eliminar cuentas maliciosas, pero la sofisticación de las campañas representa un desafío para la seguridad empresarial.
GitHub, la plataforma más utilizada para compartir código fuente en la actualidad, ha pasado de ser un simple repositorio de software a convertirse en el objetivo de campañas cada vez más avanzadas que intentan aprovechar su credibilidad. De hecho, la proliferación de malware en GitHub bajo la modalidad de malware-as-a-service (MaaS) ha supuesto un reto inédito tanto para investigadores como para administradores de seguridad.
Desde hace unos meses, diversos equipos de análisis y firmas de ciberseguridad han alertado sobre una operación coordinada que aprovecha repositorios públicos, archivos camuflados y cuentas falsas en GitHub. La estrategia de los atacantes es clara: emplear este entorno ampliamente permitido en el tejido empresarial para distribuir herramientas de ataque y cargas maliciosas sin levantar sospechas, dado que el tráfico a GitHub suele estar autorizado y pasa desapercibido ante la mayoría de los filtros web corporativos.
Un canal de distribución que se camufla en el tráfico legítimo
Las descargas maliciosas desde GitHub resultan idénticas al tráfico legítimo, lo que permite a los actores maliciosos operar con mayor eficacia. Aprovechando esta situación, los operadores detrás de la campaña se apoyan en cuentas ficticias con nombres aleatorios y repositorios públicos cuidadosamente preparados. En estos, alojan archivos maliciosos ofuscados en la sección “Releases”, empleando nombres anodinos y descripciones técnicas convincentes para no levantar sospechas en desarrolladores ni en equipos IT.
El proceso de infección habitualmente inicia con el loader Emmenhtal (también identificado como PEAKLIGHT), un descargador que emplea múltiples capas de ofuscación, añadiendo barreras para dificultar su análisis. Solo al finalizar este proceso, se ejecuta un script en PowerShell que contacta con direcciones IP remotas para descargar el payload real.
Entre las amenazas distribuidas se encuentra Amadey, conocido desde 2018 por sus capacidades de reconocimiento, descarga de archivos y extensión mediante plugins. Amadey funciona como un componente central en la infraestructura MaaS, permitiendo a los operadores personalizar la carga final según el objetivo. Tras la infección inicial, el malware suele descargar otras familias como Lumma, Redline, StealC, Rhadamanthys o herramientas legítimas ligeramente modificadas, como PuTTY o Selenium WebDriver.
La flexibilidad del modelo MaaS se refleja en la variedad de archivos y scripts empleados: desde droppers en JavaScript ofuscado hasta scripts Python disfrazados de utilidades legítimas (como “checkbalance.py”, que simulaba ser una herramienta para criptomonedas, pero en realidad ocultaba comandos para descargar Amadey).
GitHub como “almacén” y pruebas de evasión
Las cuentas más activas identificadas durante la investigación, como Legendary99999, Milidmdds y DFfe9ewf, han alojado más de 160 repositorios cada una, cada uno con un único archivo malicioso. La sección Releases se ha utilizado como principal punto de acceso: mediante enlaces directos, los atacantes facilitan la descarga a las víctimas, simulando software legítimo y pasando desapercibidos incluso en entornos con políticas restrictivas.
El carácter abierto de GitHub permite que estas cuentas sirvan tanto para la carga inicial como para pruebas de nuevas variantes y herramientas. Algunos repositorios de DFfe9ewf, por ejemplo, funcionaban como laboratorios para nuevas versiones, mientras que otros simulaban utilidades comunes o archivos multimedia (falsos MP4), para maximizar la tasa de infección y dificultar la detección manual.
Este método resulta especialmente efectivo cuando el malware se distribuye mediante campañas de phishing. En ataques recientes, se han utilizado correos electrónicos con archivos ZIP o RAR que contienen scripts JavaScript o PowerShell, utilizando el loader Emmenhtal para entregar, en función del escenario, Amadey u otras variantes como SmokeLoader.
Investigadores han destacado cómo los atacantes emplean enlaces alojados en GitHub junto con comandos cifrados y procesos legítimos de Windows, logrando eludir sistemas de análisis automático. Los scripts descargados desde estos repositorios maliciosos pueden ejecutar instrucciones de descarga o control sin activar alertas en la red.
Respuesta de GitHub y desafíos para la defensa
Tras ser alertados por expertos como los de Cisco Talos, GitHub eliminó rápidamente decenas de cuentas maliciosas. Sin embargo, la naturaleza abierta y colaborativa de la plataforma hace que puedan surgir nuevas cuentas en cualquier momento, dificultando la contención definitiva y requiriendo una monitorización constante.
Uno de los mayores desafíos para empresas y particulares es que GitHub se ha consolidado como una plataforma indispensable para desarrolladores y equipos de TI. Restringir su acceso resulta inviable en la mayoría de los entornos, por lo que es necesario reforzar los controles internos: monitorizar patrones de descarga inusuales, auditar scripts y reforzar la detección de comportamientos anómalos, especialmente en el uso de PowerShell o la ejecución de archivos provenientes de repositorios desconocidos.
La campaña evidenció el doble filo de las plataformas colaborativas. Aunque GitHub actúa rápidamente cuando se le notifica, el uso de su infraestructura legítima para distribuir malware continúa siendo una amenaza en evolución, capaz de adaptarse a los esfuerzos de mitigación tradicionales.
Por ello, la seguridad no debe depender únicamente de bloqueos automáticos, sino en la combinación de técnicas avanzadas de análisis, control de acceso y vigilancia activa de los repositorios que interactúan con los sistemas tanto corporativos como domésticos. La colaboración entre expertos, empresas y plataformas sigue siendo vital para frenar la propagación silenciosa de malware en entornos que parecen seguros.