La plataforma GitHub vuelve a estar en el centro de la noticia tras la detección de un importante esquema de distribución de malware que afecta directamente al ecosistema de proyectos de código abierto relacionados con criptomonedas. La investigación, liderada por la firma de ciberseguridad SlowMist, ha sacado a la luz cómo distintos repositorios supuestamente enfocados al trading en la red de Solana han sido utilizados como señuelo para robar fondos de wallets de usuarios desprevenidos.

El caso se hizo público cuando un usuario denunció la pérdida de fondos desde su wallet, tras descargar y ejecutar lo que creía que era un bot de trading legítimo para Solana. El repositorio en cuestión, alojado bajo la cuenta zldp2002 y bautizado como solana-pumpfun-bot, había conseguido atraer la atención de la comunidad al registrar rápidamente un alto número de estrellas y forks. Esta actividad, lejos de ser un indicio de fiabilidad, enmascaraba la verdadera naturaleza maliciosa del proyecto.

La clave del ataque residía en el uso de una dependencia denominada crypto-layout-utils, ya retirada del registro oficial de NPM. Para mantener la puerta trasera, los atacantes alteraron el archivo package-lock.json en el repositorio, redirigiendo la descarga de dicho paquete a una URL controlada manualmente en GitHub. Tras analizar el código, los expertos confirmaron que incluía rutinas para escanear archivos locales en busca de claves privadas y wallets, enviando la información a un servidor externo bajo control de los delincuentes.

Una red orquestada de cuentas falsas se utilizó para clonar y forzar múltiples variantes de estos proyectos, incrementando artificialmente las métricas y ampliando así el alcance potencial de la campaña de distribución del malware. En algunos forks, además, se detectó la presencia de otra dependencia sospechosa: bs58-encrypt-utils-1.0.3, utilizada de modo similar para mantener operativo el esquema incluso tras la retirada del paquete principal en NPM.

Fondos desviados a servicios externos y sofisticación creciente del ataque

La investigación on-chain llevada a cabo por SlowMist permitió rastrear parte de los fondos robados, que fueron transferidos a la plataforma FixedFloat. Este dato evidencia el alto grado de preparación detrás del ataque, combinando técnicas de manipulación de dependencias en entornos open source con mecanismos de lavado y ocultación del dinero sustraído.

Los expertos advierten que este tipo de incidentes representa una tendencia al alza en la sofisticación de los ataques dirigidos a la cadena de suministro de software. Además de atacar paquetes en gestores como NPM, los ciberdelincuentes explotan el prestigio y popularidad de plataformas como GitHub para difundir malware bajo una apariencia legítima, lo que multiplica el riesgo para los desarrolladores y usuarios que confían en estos proyectos.

Recomendaciones para la comunidad pasan por extremar las precauciones y no ejecutar herramientas de código abierto no verificadas, especialmente si gestionan activos digitales o claves privadas. Es crucial revisar la procedencia de los repositorios, analizar sus dependencias y, siempre que sea posible, aislar los entornos de pruebas para evitar daños mayores.

Este incidente muestra una problemática más de la vulnerabilidad en el desarrollo colaborativo de código, reforzando la importancia de mantenerse alerta y apostar siempre por la verificación y la transparencia antes de incorporar cualquier herramienta a nuestro flujo de trabajo.

El aumento de la sofisticación de estos ataques sitúa a GitHub en el punto de mira para futuras campañas. Por ello, la comunidad de desarrolladores debe reforzar su cultura de seguridad y contribuir a la detección rápida de amenazas compartiendo información y buenas prácticas.

Es fundamental mantenerse actualizado sobre las tácticas empleadas por los atacantes en GitHub y sobre la importancia de implementar medidas de seguridad adicionales en los proyectos open source, particularmente en sectores tan sensibles como el cripto.