Analistas de Hexastrike identificaron 109 repositorios maliciosos distribuidos en 103 cuentas separadas de GitHub, con la campaña mostrando señales de estar activa durante al menos siete semanas antes de su revisión, con nuevos repositorios apareciendo hasta el 12 de abril de 2026. Los investigadores notaron que los repositorios eran actualizados en lotes cuando los enlaces de descarga rotaban a nuevos archivos ZIP, un patrón que apuntaba hacia un control centralizado y al menos una automatización parcial por parte de un solo actor de amenazas o un grupo estrechamente controlado. El diseño consistente de los archivos, la estructura del README, el patrón de preparación y la familia de malware en todos los repositorios confirmaron esta evaluación. El impacto de esta campaña va más allá de los usuarios individuales. Debido a que GitHub es ampliamente confiado como plataforma por desarrolladores, estudiantes y profesionales de la seguridad, los repositorios falsos que aparecen junto a los reales en los resultados de búsqueda tienen una credibilidad natural. El actor de amenazas incluso añadió términos de SEO no relacionados a las descripciones de los repositorios para aumentar su visibilidad y atraer más víctimas. Los datos recolectados de las máquinas infectadas eran enviados silenciosamente a servidores de comando y control, y el malware también llevaba un ladrón de información llamado StealC, diseñado para recolectar datos sensibles de sistemas comprometidos.

 

Cómo Funciona SmartLoader Después de la Descarga

Una vez que una víctima descarga y extrae el archivo ZIP, un script de batch de una sola línea lanza un intérprete LuaJIT, que ejecuta un script Lua fuertemente ofuscado conocido como SmartLoader.

Desde la perspectiva de la víctima, no ocurre nada visible en la pantalla porque el malware utiliza llamadas a la API de Windows para ocultar su ventana de consola inmediatamente después de la ejecución. SmartLoader luego realiza una verificación anti-debug utilizando shellcode nativo copiado en memoria ejecutable, una técnica diseñada para detener a los investigadores de seguridad de analizar su comportamiento. Para localizar su servidor de comando y control activo sin codificar una dirección, SmartLoader consulta un contrato inteligente de blockchain Polygon utilizando una llamada JSON-RPC a polygon.drpc.org, recuperando la IP del servidor en vivo desde un valor en la cadena.

Este método, conocido como un resolvedor de "dead drop" en blockchain, permite al operador intercambiar infraestructura actualizando una sola entrada en la cadena en lugar de reconstruir el malware o cambiar cada muestra preparada. Después de resolver el servidor activo, SmartLoader envía una solicitud POST multiparte que contiene detalles de huella digital del host y capturas de pantalla a un servidor de comando y control con dirección IP directa.

El servidor responde con instrucciones y tareas cifradas. La persistencia se establece a través de dos tareas programadas diarias, con nombres como "AudioManager_ODM3" y "OfficeClickToRunTask_7d7757" para mezclarse con la actividad legítima del sistema. Una tarea ejecuta una copia local en caché de la etapa Lua, mientras que la otra vuelve a descargar una etapa cifrada fresca directamente desde un repositorio de GitHub controlado por el atacante. Esta persistencia de doble ruta asegura que el malware sobreviva incluso si una ruta de recuperación es bloqueada o limpiada. El mismo repositorio de preparación también alojaba una carga útil cifrada de StealC que SmartLoader era capaz de descifrar y cargar directamente en memoria sin escribirla en el disco. Los equipos de seguridad y los usuarios individuales deberían tomar las siguientes medidas de protección basadas en los hallazgos de esta campaña:

• Verifica siempre la fuente original de un proyecto de GitHub antes de descargar cualquier archivo o instalador, prefiriendo lanzamientos oficiales sobre archivos ZIP enterrados dentro de las carpetas del repositorio.
• Monitorea las conexiones salientes a endpoints RPC de blockchain como polygon.drpc.org, especialmente desde procesos que no son navegadores, ya que esto es un fuerte indicador temprano de comportamiento de resolvedor de "dead drop".
• Vigila los ejecutables sin firmar lanzados por batch que referencian archivos de script con extensiones .txt o .log ejecutándose desde rutas escribibles por el usuario como Descargas o %TEMP%.
• Marca las solicitudes POST multiparte dirigidas a direcciones IP directas, particularmente aquellas con rutas URI que comienzan con /api/ o /task/, ya que estas se alinean directamente con el patrón de exfiltración de SmartLoader.
• Implementa controles de aplicación que bloqueen intérpretes y lanzadores de scripts sin firmar de ejecutarse fuera de los directorios de instalación estándar.
• Alerta sobre la creación de tareas programadas donde la acción apunta a un ejecutable almacenado bajo %LOCALAPPDATA%, especialmente cuando los argumentos de la línea de comandos incluyen raw.githubusercontent.com.

Fuentes:
https://cybersecuritynews.com/109-fake-github-repositories-used/