Expertos en ciberseguridad están alertando sobre una amenaza que está poniendo en peligro a jugadores e inversores en criptomonedas. Se trata de GitVenom, una campaña maliciosa descubierta por Kaspersky que utiliza proyectos falsos de código abierto en GitHub para distribuir malware y robar Bitcoin.
Este ataque abarca cientos de repositorios infectados, y entre los proyectos comprometidos se encuentran herramientas de automatización para Instagram, bots de Telegram para gestionar billeteras de Bitcoin y hasta software de crack para el juego Valorant. En otras palabras, los ciberdelincuentes están utilizando aplicaciones populares como gancho para engañar a los usuarios.
GitVenom: Cómo los hackers usan GitHub para robar criptomonedas
Todo en esos proyectos era una mentira. No solo no ofrecían la funcionalidad que prometían, sino que, detrás de escena, los ciberdelincuentes estaban robando datos personales, información bancaria y secuestrando direcciones de criptobilleteras copiadas en el portapapeles.
Gracias a esta estafa, han logrado robar al menos 5 bitcoins, lo que equivale a unos $456,600 dólares al momento de escribir este artículo. Se cree que esta campaña lleva activa más de dos años, desde que los primeros proyectos falsos aparecieron en GitHub. La mayoría de las víctimas hasta ahora se encuentran en Rusia, Brasil y Turquía.
Los proyectos maliciosos están escritos en varios lenguajes de programación, como Python, JavaScript, C, C++ y C#, pero el objetivo siempre es el mismo: ejecutar código malicioso oculto que descarga más componentes desde un repositorio de GitHub controlado por los atacantes.
Uno de los módulos más peligrosos es un ladrón de información basado en Node.js, que recopila contraseñas, datos bancarios, credenciales guardadas, información de billeteras cripto e historial de navegación. Toda esta información se comprime en un archivo .7z y se envía a los atacantes a través de Telegram.
Pero eso no es todo. Estos proyectos falsos también instalan herramientas de acceso remoto como AsyncRAT y Quasar RAT, que permiten a los hackers tomar el control de los dispositivos infectados. Además, incluyen un malware clipper, diseñado para modificar direcciones de billeteras copiadas en el portapapeles y reemplazarlas con una dirección controlada por los atacantes, redirigiendo así los fondos sin que la víctima se dé cuenta.
Según Georgy Kucherin, investigador de Kaspersky, esta técnica seguirá siendo utilizada por los ciberdelincuentes, ya que millones de desarrolladores en todo el mundo confían en plataformas como GitHub para compartir código. En otras palabras, este tipo de ataques no va a desaparecer pronto, y cualquiera que descargue software de fuentes no verificadas podría estar en riesgo.
Podría interesarte leer: Las 5 Campañas de Malware más Activas en el Primer Trimestre de 2025
Otro Mega Hackeo en el Mundo de las Criptomonedas
El fin de semana, expertos en seguridad blockchain y empresas del sector señalaron al grupo de hackers Lazarus, de Corea del Norte, como responsable del robo de más de $1,500 millones del exchange de criptomonedas Bybit. Este ataque no solo rompe récords en la historia de los hackeos cripto, sino que también deja en evidencia las vulnerabilidades de las plataformas centralizadas.
El golpe ocurrió el 21 de febrero de 2025, cuando los atacantes interceptaron una transferencia programada de Ethereum (ETH) desde una billetera fría de Bybit hacia una billetera caliente, logrando redirigir los fondos a una dirección bajo su control. Aunque la actividad sospechosa fue detectada a las 12:30 p.m. UTC, ya era demasiado tarde: los hackers habían ejecutado con éxito el robo. Esto deja varias preguntas en el aire: ¿Cómo lograron vulnerar la seguridad de Bybit? ¿Qué significa esto para los inversores?
Utilizando un ataque altamente sofisticado, los ciberdelincuentes manipularon la lógica del contrato inteligente y engañaron la interfaz de firma, lo que les permitió tomar el control de la billetera fría de Ethereum (ETH) de Bybit. Como resultado, desviaron más de 400,000 ETH y stETH, con un valor total de $1,500 millones, hacia una dirección desconocida.
A pesar de la magnitud del robo, Bybit aseguró que su plataforma siguió funcionando con normalidad, incluso después de recibir una avalancha de 580,000 solicitudes de retiro tras la noticia. También confirmaron que todas las demás billeteras frías y activos permanecieron seguros.
Desde entonces, el exchange ha logrado restaurar sus reservas de ETH, y su CEO afirmó que Bybit sigue siendo financieramente solvente, incluso si no logran recuperar los fondos robados. Sin embargo, este ataque deja claro que ni siquiera los exchanges más grandes están a salvo de grupos como Lazarus.
Conoce más sobre este incidente: Hackean a Bybit: Roban $1.500 Millones de Dólares en Criptomonedas
Conclusión: Un Futuro Incierto para la Seguridad en Criptomonedas
El ataque de Lazarus a Bybit y la campaña de GitVenom en GitHub dejan claro que la seguridad en el mundo de las criptomonedas y el desarrollo de software está en constante amenaza. Desde hackeos millonarios hasta malware oculto en proyectos de código abierto, los ciberdelincuentes están evolucionando sus tácticas para explotar cualquier vulnerabilidad.
Estos incidentes nos recuerdan lo crucial que es la ciberseguridad tanto para empresas como para usuarios individuales. Si bien los exchanges y plataformas como GitHub deben reforzar sus defensas, los inversores y desarrolladores también deben tomar medidas para proteger sus activos y datos. Usar billeteras frías, activar autenticación de dos factores, verificar la procedencia del software y estar atentos a posibles fraudes son pasos fundamentales para reducir riesgos.
