Volver a Noticias

Kaspersky halla criptoapps falsas en GitHub que vacían billeteras

La firma de ciberseguridad Kaspersky identificó un software malicioso distribuido a través de versiones falsas de bots de trading, rastreadores de portafolios y herramientas de billetera en GitHub. Una vez instalado, puede reemplazar las direcciones de billetera copiadas por las de los atacantes y robar claves privadas, poniendo en riesgo las criptomonedas de los usuarios.
La firma de ciberseguridad Kaspersky ha identificado un nuevo marco de malware diseñado específicamente para vaciar billeteras de criptomonedas. El vector de ataque se basa en la ingeniería social y en aplicaciones troyanizadas alojadas en GitHub.

La campaña, que Kaspersky detalló en un informe publicado el viernes, utiliza versiones falsas de herramientas de criptomonedas legítimas. Se engaña a las víctimas para que descarguen código malicioso que se hace pasar por bots de trading, rastreadores de portafolios o software de gestión de billeteras.

Una vez instalado, el marco puede interceptar los datos del portapapeles –reemplazando las direcciones de billetera copiadas por otras controladas por los atacantes– y recolectar las claves privadas almacenadas en el dispositivo. Kaspersky afirmó que el malware es modular, lo que permite a sus operadores intercambiar las cargas útiles sin reconstruir toda la cadena de infección.

"No se trata de una simple operación de 'script kiddies'", indica el equipo de investigación de Kaspersky en el informe. "El marco muestra una planificación clara. Los atacantes se dirigen a un público específico: personas que gestionan activamente criptoactivos y se sienten cómodas instalando herramientas de código abierto".

El malware se propaga principalmente a través de repositorios de GitHub que parecen legítimos. Algunos repositorios han acumulado estrellas y bifurcaciones, lo que los hace parecer fiables. Otros se promocionan a través de grupos de Telegram y foros centrados en criptomonedas.

GitHub es un canal de distribución popular para el software de trading de criptomonedas, desde integraciones de agregadores DEX hasta bots de MEV. La dinámica de confianza por defecto de la plataforma juega a favor de los atacantes: un repositorio con confirmaciones recientes y una documentación que parece receptiva puede engañar incluso a los usuarios experimentados.

Kaspersky no nombró repositorios específicos ni estimó el número total de víctimas. La empresa aconsejó a los traders verificar la identidad de los autores del software, comprobar las firmas digitales y realizar operaciones de billetera en máquinas aisladas (air-gapped) cuando sea posible.

Para los traders que dependen de herramientas de terceros, las implicaciones son directas: una aplicación comprometida puede vaciar una billetera en segundos. No se necesita ningún correo electrónico de phishing, ni ningún sitio web falso que comprobar: el atacante ya está dentro del flujo de trabajo del usuario.

El diseño modular del marco sugiere que futuras variantes podrían dirigirse a la comunicación con billeteras de hardware o explotar los permisos de las extensiones del navegador. Kaspersky dijo que está rastreando el malware bajo un nombre en clave interno y espera que los operadores continúen perfeccionando el código.

Los inversores en criptomonedas deben tratar cualquier descarga de GitHub como un riesgo potencial. El enfoque más seguro: que sea de código abierto no significa que sea seguro. Audite el código usted mismo, ejecútelo primero en un entorno de pruebas (sandbox) o utilice herramientas conocidas y auditadas de desarrolladores establecidos.

Noticias relacionadas