- Kaspersky encontró 15 repositorios maliciosos de GitHub que muestran exploits de conceptos, algunos creados con IA general
- Las víctimas reciben un zip con el señuelo y un gotero (rasmanesc.exe) que instala la puerta trasera/infostellar WebRAT.
- GitHub eliminó los repositorios, pero los usuarios infectados deben eliminar WebRAT manualmente y tener cuidado con los paquetes con errores tipográficos.
Los expertos advierten que los ciberdelincuentes ahora se dirigen a los investigadores de seguridad (y posiblemente a otros delincuentes) con exploits de prueba de concepto falsos cargados de malware alojados en repositorios populares.
Los investigadores de ciberseguridad Kaspersky dijeron que encontraron 15 repositorios maliciosos alojados en GitHub. Estos repositorios, construidos con inteligencia artificial generativa (Gen AI), afirman proporcionar un exploit para múltiples vulnerabilidades descubiertas y reportadas en los medios.
Estos incluyen un error de desbordamiento del búfer basado en montón en Windows MSHTML/Internet Explorer, una omisión de autenticación crítica en el complemento de inicio de sesión sin contraseña OwnID para WordPress y una falla de elevación de privilegios en el Administrador de conexiones de acceso remoto de Windows.
Puerta trasera y ladrón de información
Las víctimas que descargan el paquete encuentran un archivo ZIP protegido con contraseña que contiene un archivo vacío, un archivo DLL falso que actúa como señuelo, un archivo por lotes y un gotero malicioso llamado rasmanesc.exe.
Este dropper eleva sus privilegios, desactiva Windows Defender y luego descarga el malware WebRAT.
WebRAT es principalmente una puerta trasera, pero también actúa como un ladrón de información. Los investigadores de seguridad dicen que puede robar credenciales de inicio de sesión para cuentas de Steam, Discord y Telegram, así como información de cualquier billetera de criptomonedas y complementos de navegador que la víctima haya instalado. También puede utilizar cámaras web para espiar a sus víctimas y realizar capturas de pantalla.
La campaña parece haber comenzado en septiembre de 2025, por lo que ya lleva unos meses activa. Sin embargo, GitHub ha eliminado todos los repositorios maliciosos.
Aún así, las personas que ya descargaron los paquetes no estarán seguras hasta que eliminen cualquier rastro de WebRAT de sus sistemas. Además, deben tener cuidado al descargar paquetes adicionales, ya que es posible que haya más por descubrir.
Debido a su tamaño y popularidad en la comunidad de desarrollo de software y ciberseguridad, GitHub es un objetivo principal para los ciberdelincuentes, que a menudo intentan ingresar a los dispositivos de las personas.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Para noticias, reseñas, unboxing en forma de videos y reciba nuestras actualizaciones periódicas WhatsApp muy
