Confía, pero verifica cada commit: GitHub se ha convertido (casi) en la darkne
Descubren que hackers usan GitHub Desktop para difundir malware a gran escala.
Los atacantes encontraron una nueva forma de usar GitHub como plataforma para distribuir software malicioso, disfrazándolo de instaladores legítimos de aplicaciones populares entre desarrolladores. En el centro de la nueva campaña estuvo GitHub Desktop, el cliente oficial del servicio, que los atacantes convirtieron en una fuente de infección al sustituir los enlaces de descarga y promocionarlos mediante publicidad en buscadores.
El esquema resultó técnicamente sencillo pero muy eficaz. Los atacantes creaban cuentas desechables en GitHub, hacían fork del repositorio oficial de GitHub Desktop, cambiaban el enlace de descarga en el archivo README y confirmaban los cambios. Debido a peculiaridades del funcionamiento de GitHub, esos commits pueden visualizarse a través de la dirección del repositorio oficial, aunque el usuario no tenga permisos de escritura. Como resultado, el código malicioso quedaba visualmente «dentro» del proyecto legítimo, y el enlace parecía parte del repositorio oficial. Esta técnica se conoce como ocupación de repositorios.
A partir de ahí intervenía la publicidad. Los atacantes lanzaban anuncios de pago para la búsqueda «GitHub Desktop» que llevaban no al sitio oficial, sino directamente a la página con el commit malicioso. Además, el enlace estaba configurado para que el usuario accediera inmediatamente al bloque con el botón de descarga, evitando las advertencias habituales de GitHub. En consecuencia, la gente descargaba un instalador falso convencida de que recibía el cliente oficial.
Según los datos de los especialistas de GMO Cybersecurity, la campaña fue más activa en septiembre y octubre de 2025. El enfoque principal se dirigía a usuarios de los países de la UE y del EEE, aunque también se registraron infecciones en Japón. El público objetivo eran desarrolladores y cualquier persona que busque herramientas para trabajar con código. Archivos maliciosos similares se hacían pasar por otras aplicaciones populares, incluyendo Chrome, Notion, 1Password y Bitwarden.
El instalador malicioso para Windows era un cargador multinivel que finalmente entregaba HijackLoader, un conocido cargador de malware frecuentemente empleado para la posterior instalación de robadores de credenciales y otros módulos. En macOS las víctimas recibían AMOS stealer. Técnicamente, el ataque estaba implementado de forma compleja: la primera etapa se presentaba como un instalador .NET habitual, en cuyo interior se encontraba código malicioso cifrado.
Los investigadores mostraron especial interés por el mecanismo de protección frente al análisis. El programa malicioso utilizaba interfaces de la GPU a través de OpenCL, creando la ilusión de un «cifrado por GPU». En la práctica, ese código estaba diseñado para engañar a los analistas y dificultar el análisis estático; en entornos de sandbox y virtuales a menudo simplemente rompía la ejecución por falta de controladores de GPU y del entorno OpenCL. Esto obligaba a los especialistas a realizar el análisis en máquinas físicas con tarjeta gráfica, lo que complica mucho el estudio de estas muestras.
La cadena de infección posterior incluía scripts de PowerShell, la adición de exclusiones en Microsoft Defender, la creación de tareas programadas para el arranque automático y el uso de la técnica de carga lateral de DLL, cuando el código malicioso se incrusta en bibliotecas legítimas de Windows. La etapa final era HijackLoader, que comprobaba la presencia de procesos de antivirus como AVG y Avast, podía retrasar la ejecución y cargaba módulos posteriores, incluidos robadores como LummaC2.
GitHub ya declaró en septiembre de 2025 que su equipo de seguridad conocía el problema y trabajaba en medidas de protección, pero a finales de diciembre la técnica seguía reproduciéndose. De hecho, la propia arquitectura de GitHub, en la que los commits de los forks permanecen como parte de la red común del repositorio incluso tras eliminar la cuenta, hace que este tipo de ataques sea difícil de rastrear y limpiar.
Los expertos advierten que los desarrolladores se convierten en un objetivo especialmente atractivo, ya que sus equipos suelen dar acceso a la infraestructura de las empresas, a los códigos fuente y a los servicios internos. El uso de plataformas de confianza como GitHub hace que los ataques sean aún más peligrosos, porque los usuarios desarrollan una falsa sensación de seguridad.
Los investigadores recomiendan descargar programas únicamente desde las páginas de lanzamiento oficiales de los proyectos, comprobar con atención la procedencia de los enlaces y actuar con cautela ante los anuncios publicitarios en los motores de búsqueda, incluso si conducen a plataformas conocidas. En la era de las cadenas de suministro y de los ataques complejos, incluso los sitios habituales ya no garantizan la seguridad.