SmartLoader se cuela en GitHub con repositorios falsos

Última actualización: agosto 15, 2025
Autor: Prodad Software
  • Campaña detectada por ASEC: repositorios falsos en GitHub distribuyen SmartLoader.
  • La infección se inicia con Launcher.cmd y un script Lua ofuscado cargado por luajit.exe.
  • Persistencia en %AppData% y tareas programadas; C2 con comandos JSON.
  • Entrega de Rhadamanthys y otros ladrones de información mediante carga por etapas.

SmartLoader malware en GitHub

Investigadores de ciberseguridad han destapado una campaña bien armada que usa repositorios de GitHub con apariencia legítima para distribuir el malware SmartLoader, un cargador capaz de traer a escena otras amenazas más peligrosas.

El señuelo está dirigido a quienes buscan trucos para juegos, cracks de software y herramientas de automatización, aprovechando la confianza que genera GitHub para posicionar repos fraudulentos en lo alto de los resultados de búsqueda.

Repos maliciosos en GitHub: señuelos para trucos y cracks

Los actores de la amenaza han creado proyectos con README pulidos, documentación detallada e instrucciones de instalación que parecen sacadas de un repositorio open source serio, dificultando distinguirlos de uno legítimo a simple vista.

Estos repos suelen aparecer al buscar términos como “game hacks” o “software crack” y prometen herramientas para títulos como Maple Story, Minecraft o Call of Duty, además de supuestas utilidades como “Instagram boosters” o cracks de VSDC Video Editor Pro o VPNs.

Las descargas maliciosas se publican en la sección de Releases, con URLs que imitan versiones reales (por ejemplo: hxxps://githubcom//Maple-Story-Menu/releases/download/v3.2.0/Maple.Story.Menu.v3.2.0.zip), lo que añade credibilidad al engaño.

Dentro de los ZIP aparece siempre el mismo cuarteto: un cargador Lua legítimo (luajit.exe, a veces renombrado como java.exe), un script por lotes malicioso (Launcher.cmd), la librería de runtime (lua51.dll) y un script Lua ofuscado (module.class).

Al seguir las instrucciones del repositorio la víctima ejecuta Launcher.cmd, que actúa como detonante y disimula la ejecución del malware bajo la apariencia de un programa de confianza.

GitHub malware
Artículo relacionado:
GitHub, el nuevo canal para distribución de malware bajo el modelo MaaS

Cadena de infección y persistencia

La infección arranca al cargar el script Lua ofuscado mediante luajit.exe, un intérprete legítimo que aquí se usa con fines maliciosos para iniciar SmartLoader.

Para afianzarse en el equipo el malware copia sus componentes a %AppData%\ODE3 y crea una tarea programada con el nombre “SecurityHealthService_ODE3”, garantizando que se ejecute tras cada reinicio.

Nada más activarse, SmartLoader toma capturas de pantalla, recolecta información del sistema y la envía a sus servidores de mando y control usando Base64 y operaciones de bytes para ofuscar el tráfico.

La comunicación con el C2 viaja por canales cifrados y el servidor responde con comandos en formato JSON que incluyen una sección de configuración del “loader” y una lista de “tasks” con cargas adicionales a descargar y ejecutar.

Entrega de payloads: Rhadamanthys y más

El papel principal de SmartLoader es actuar como trampolín para otras amenazas: durante el análisis se observaron descargas de un segundo script Lua (adobe.lua) con funciones similares, además de shellcode de Rhadamanthys en versiones de 64 y 32 bits (_x64.bin, _x86.bin).

Rhadamanthys supone un riesgo serio: se inyecta en procesos de Windows como openwith.exe, dialer.exe, dllhost.exe o rundll32.exe para evadir defensas y robar credenciales de correo, datos de FTP y hasta información bancaria.

Se han observado infraestructuras C2 como hxxp://89.169.13215 (p. ej., /api/YTAsODYsODIsOWQsYTEsODgsOTAsOTUsNjUsN2Qs) y, para módulos secundarios, hxxp://95.164.5326, además de endpoints de tareas con identificadores y país de la víctima.

Los analistas de ASEC documentaron que todo el intercambio está ofuscado y que los parámetros de cifrado se extraen de memoria en tiempo de ejecución, complicando el análisis estático.

El ecosistema observado sugiere que SmartLoader también puede servir de lanzadera para stealeres como RedLine o Lumma, en función de las órdenes JSON recibidas.

Por qué esta campaña funciona tan bien

La clave está en mezclar ingeniería social (repositorios “perfectos”, documentación convincente) con técnicas técnicas sólidas (ofuscación de Lua, comunicaciones cifradas, inyección en procesos).

El uso de una plataforma confiable como GitHub y el posicionamiento SEO de términos ilícitos elevan la exposición de las víctimas potenciales, que a menudo confunden estos repos con proyectos reales. Puedes consultar también cómo los autores de malware utilizan plataformas como GitHub en su estrategia en este artículo relacionado.

La reutilización de componentes legítimos como luajit.exe reduce las alarmas y complica la detección basada en firmas, un detalle que demuestra la atención al detalle de los atacantes.

Cómo reducir el riesgo

Antes de descargar o ejecutar nada de GitHub, revisa a fondo la reputación del autor, el historial de commits, issues y pull requests, y comprueba si existen referencias externas creíbles.

Desconfía especialmente de repos que prometen cracks, cheats o “boosters” y que solo entregan binarios en Releases sin código fuente verificable ni firmas digitales.

Refuerza tu postura defensiva con EDR/antivirus capaces de detectar inyección en procesos y tareas programadas sospechosas, y monitoriza el tráfico saliente hacia IPs o rutas anómalas.

En entornos corporativos, prueba primero en sandbox, aplica listas de bloqueo para IoCs conocidos y restringe la ejecución de scripts/batch donde no sea estrictamente necesario.

Indicadores de compromiso (IoCs)

  • Rutas y persistencia: %AppData%\ODE3; tareas programadas “SecurityHealthService_ODE3” y “WindowsErrorRecovery_ODE4”.
  • Archivos en paquetes: luajit.exe (a veces java.exe), Launcher.cmd, lua51.dll, module.class, adobe.lua.
  • Procesos objetivo para inyección: openwith.exe, dialer.exe, dllhost.exe, rundll32.exe.
  • Infraestructura C2 observada: hxxp://89.169.13215 (rutas /api/... y /tasks/...); hxxp://95.164.5326 (/api/...).
  • Patrones de repos/descargas: Releases con nombres de herramientas para juegos (p. ej., “Maple-Story-Menu”) y archivos ZIP que contienen los cuatro componentes citados.

El caso de SmartLoader en GitHub ilustra cómo una combinación de confianza mal entendida en repositorios públicos y técnicas de ofuscación puede desembocar en infecciones con robo de datos; verificar la procedencia del software y aplicar controles de seguridad proactivos marca la diferencia.