{"id":80356,"date":"2025-07-19T10:51:58","date_gmt":"2025-07-19T10:51:58","guid":{"rendered":"https:\/\/enfoquenoticioso.com\/?p=80356"},"modified":"2025-07-19T10:51:58","modified_gmt":"2025-07-19T10:51:58","slug":"github-es-vital-para-millones-de-usuarios-justo-por-eso-se-ha-convertido-en-el-lugar-perfecto-para-esconder-malware","status":"publish","type":"post","link":"https:\/\/enfoquenoticioso.com\/?p=80356","title":{"rendered":"GitHub es vital para millones de usuarios. Justo por eso se ha convertido en el lugar perfecto para esconder malware"},"content":{"rendered":"<div>\n<p>Cuando una herramienta es tan \u00fatil que nadie se atreve a bloquearla, se convierte en un im\u00e1n para los atacantes. Eso es lo que est\u00e1 ocurriendo con <strong>GitHub<\/strong>: repositorios p\u00fablicos, archivos camuflados y cargas maliciosas que pasan desapercibidas en entornos corporativos. <a rel=\"noopener, noreferrer\" href=\"https:\/\/blog.talosintelligence.com\/maas-operation-using-emmenhtal-and-amadey-linked-to-threats-against-ukrainian-entities\/\" target=\"_blank\">Cisco Talos ha destapado una campa\u00f1a que lo demuestra<\/a>.<\/p>\n<p><!-- BREAK 1 --> <\/p>\n<p>La campa\u00f1a, activa desde febrero de 2025, no era un experimento aislado. Se trataba de una operaci\u00f3n bien estructurada basada en el modelo malware-as-a-service (MaaS), en el que se venden herramientas de ataque como si fueran servicios en la nube. En este caso, los operadores utilizaban a GitHub para distribuir malware a trav\u00e9s de enlaces aparentemente inocuos.<\/p>\n<p><!-- BREAK 2 --><\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_81 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Tabla de Contenido<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/enfoquenoticioso.com\/?p=80356\/#Cuando_el_codigo_malicioso_se_esconde_a_plena_vista\" >Cuando el c\u00f3digo malicioso se esconde a plena vista<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Cuando_el_codigo_malicioso_se_esconde_a_plena_vista\"><\/span>Cuando el c\u00f3digo malicioso se esconde a plena vista<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>\u201cEn muchos entornos, una descarga maliciosa desde GitHub puede parecer <strong>tr\u00e1fico normal<\/strong>\u201d, <a rel=\"noopener, noreferrer\" href=\"https:\/\/blog.talosintelligence.com\/maas-operation-using-emmenhtal-and-amadey-linked-to-threats-against-ukrainian-entities\/#:~:text=a%20malicious%20GitHub%20download%20may%20be%20difficult%20to%20differentiate%20from%20regular%20web%20traffic.\" target=\"_blank\">explican los investigadores de Talos<\/a>. Y ah\u00ed est\u00e1 el problema: los actores detr\u00e1s de esta campa\u00f1a supieron moverse entre lo leg\u00edtimo y lo da\u00f1ino sin levantar sospechas, utilizando la plataforma propiedad de Microsoft como canal encubierto de distribuci\u00f3n.<\/p>\n<p><!-- BREAK 3 -->  <\/p>\n<p>El proceso empezaba con Emmenhtal, un loader dise\u00f1ado para actuar por capas. Tres de ellas se encargaban exclusivamente de ocultar el c\u00f3digo. Solo al final del proceso se ejecutaba un script en PowerShell que contactaba con una direcci\u00f3n remota para descargar la carga \u00fatil real.<\/p>\n<p><!-- BREAK 4 --><\/p>\n<p>Ese payload era <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.checkpoint.com\/cyber-hub\/threat-prevention\/what-is-botnet\/amadey-botnet\/\" target=\"_blank\">Amadey<\/a>, un malware conocido desde 2018 en foros de habla rusa. Su funci\u00f3n principal es recopilar informaci\u00f3n del sistema infectado y <strong>descargar archivos adicionales<\/strong> en funci\u00f3n del perfil del equipo. Lo m\u00e1s llamativo es que esos archivos no proced\u00edan de servidores oscuros ni dominios sospechosos: se alojaban en repositorios p\u00fablicos de GitHub.<\/p>\n<p><!-- BREAK 5 --><\/p>\n<p>Una de las cuentas m\u00e1s activas era Legendary99999. En ella llegaron a detectarse m\u00e1s de 160 repositorios con nombres aleatorios, cada uno alojando un \u00fanico archivo malicioso en su secci\u00f3n de Releases. Desde ah\u00ed, los atacantes pod\u00edan enviar enlaces directos a las v\u00edctimas, como si se tratara de cualquier otra descarga leg\u00edtima.<\/p>\n<p><!-- BREAK 6 --> <\/p>\n<div class=\"article-asset-image article-asset-normal article-asset-center\">\n<div class=\"asset-content\">\n<div class=\"caption-img \">\n                   <img class=\"centro_sinmarco\" height=\"902\" width=\"1311\" loading=\"lazy\" decoding=\"async\" sizes=\"auto, 100vw\" fetchpriority=\"high\" srcset=\"https:\/\/i.blogs.es\/c55491\/gh3-github-malware\/450_1000.jpeg 450w, https:\/\/i.blogs.es\/c55491\/gh3-github-malware\/650_1200.jpeg 681w,https:\/\/i.blogs.es\/c55491\/gh3-github-malware\/1024_2000.jpeg 1024w, https:\/\/i.blogs.es\/c55491\/gh3-github-malware\/1366_2000.jpeg 1366w\" src=\"https:\/\/i.blogs.es\/c55491\/gh3-github-malware\/450_1000.jpeg\" alt=\"Gh3 Github Malware\"\/><br \/>\n   <img decoding=\"async\" alt=\"Gh3 Github Malware\" class=\"centro_sinmarco\" src=\"https:\/\/i.blogs.es\/c55491\/gh3-github-malware\/450_1000.jpeg\"\/><\/p>\n<p>        <span>Captura de pantalla del perfil de Legendary99999 en GitHub<\/span>\n   <\/div>\n<\/p><\/div>\n<\/div>\n<p>Legendary99999 no era un caso aislado. Talos identific\u00f3 otras cuentas, como Milidmdds o DFfe9ewf, que segu\u00edan un patr\u00f3n similar: nombres aleatorios, <strong>repositorios con apariencia inofensiva,<\/strong> pero dise\u00f1ados para ejecutar cargas maliciosas. En total, se detectaron muestras de malware como Rhadamanthys, Lumma, Redline o incluso herramientas leg\u00edtimas como PuTTY y Selenium WebDriver.<\/p>\n<p><!-- BREAK 7 --><\/p>\n<p>El funcionamiento era siempre el mismo: una vez infectado el equipo, Amadey descargaba el archivo necesario desde GitHub, seg\u00fan las necesidades de cada operador. Lo m\u00e1s llamativo es la flexibilidad de la operaci\u00f3n: desde troyanos de acceso remoto como AsyncRAT, hasta scripts disfrazados de archivos MP4 o incluso c\u00f3digo Python con funciones ocultas.<\/p>\n<p><!-- BREAK 8 --><\/p>\n<div class=\"article-asset article-asset-normal article-asset-center\">\n<div class=\"desvio-container\">\n<div class=\"desvio\">\n<div class=\"desvio-figure js-desvio-figure\">\n    <a href=\"https:\/\/www.xataka.com\/inteligencia-artificial\/confiar-ia-para-buscar-url-web-nos-puede-salir-caro-nuevo-campo-juego-phishing\" class=\"pivot-outboundlink\" data-vars-post-title=\"Cuando le pides a una IA la URL de una empresa lo m\u00e1s probable es que se equivoque. Buenas noticias para el phishing\" target=\"_blank\" rel=\"noopener\"><br \/>\n     <img loading=\"lazy\" decoding=\"async\" alt=\"Cuando le pides a una IA la URL de una empresa lo m\u00e1s probable es que se equivoque. Buenas noticias para el phishing\" width=\"375\" height=\"142\" src=\"https:\/\/i.blogs.es\/e0d04d\/ia\/375_142.jpeg\"\/><br \/>\n    <\/a>\n   <\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n<p>GitHub actu\u00f3 con rapidez. En cuanto Talos notific\u00f3 los hallazgos, l<strong>as cuentas fueron eliminadas<\/strong>. Pero el problema no parece ser la plataforma s\u00ed, sino la estrategia detr\u00e1s de su uso: aprovechar servicios leg\u00edtimos y necesarios para ocultar actividades maliciosas.<\/p>\n<p><!-- BREAK 9 --><\/p>\n<p>Im\u00e1genes | Xataka con Gemini 2.5 Flash | <a rel=\"noopener, noreferrer\" href=\"https:\/\/blog.talosintelligence.com\/content\/images\/2025\/07\/GH3.png\" target=\"_blank\">Talos<\/a><\/p>\n<p>En Xataka | <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/seguridad\/hola-mama-mi-telefono-se-ha-roto-estafa-hijo-apuros-trae-cabeza-a-policia-ia-esta-empeorando\" data-vars-post-title=\"La estafa del &quot;hijo en apuros&quot; llevaba a\u00f1os causando estragos en toda Espa\u00f1a. La polic\u00eda al fin la est\u00e1 desarticulando\" data-vars-post-url=\"https:\/\/www.xataka.com\/seguridad\/hola-mama-mi-telefono-se-ha-roto-estafa-hijo-apuros-trae-cabeza-a-policia-ia-esta-empeorando\" target=\"_blank\" rel=\"noopener\">La estafa del \u00abhijo en apuros\u00bb llevaba a\u00f1os causando estragos en toda Espa\u00f1a. La polic\u00eda al fin la est\u00e1 desarticulando<\/a><\/p>\n<\/p><\/div>\n<p><a href=\"https:\/\/www.xataka.com\/seguridad\/github-vital-para-millones-usuarios-justo-eso-se-ha-convertido-lugar-perfecto-para-esconder-malware\" class=\" target=\" title=\"GitHub es vital para millones de usuarios. Justo por eso se ha convertido en el lugar perfecto para esconder malware\" target=\"_blank\" rel=\"noopener\">Ver fuente<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cuando una herramienta es tan \u00fatil que nadie se atreve a bloquearla, se convierte en un im\u00e1n para los atacantes. Eso es lo que est\u00e1 ocurriendo con GitHub: repositorios p\u00fablicos, archivos camuflados y cargas maliciosas que pasan desapercibidas en entornos corporativos. Cisco Talos ha destapado una campa\u00f1a que lo demuestra. La campa\u00f1a, activa desde febrero [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":80357,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-80356","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/80356","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=80356"}],"version-history":[{"count":0,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/80356\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/media\/80357"}],"wp:attachment":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=80356"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=80356"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=80356"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}