Tabla de contenidos
¿Alguna vez te has preguntado si esa herramienta de desarrollo que usas diariamente podría esconder un peligro insospechado? Imagina que detrás de una fachada perfectamente legítima se esconde una trampa lista para cerrarse sobre ti. Eso es exactamente lo que revela el reciente descubrimiento de una campaña de malware en GitHub, donde software malicioso disfrazado de herramientas ordinarias amenaza a desarrolladores y usuarios de todo el mundo.
Las 3 informaciones que no debes perderte
Revelada por Netskope Threat Labs, la campaña maliciosa TroyDen’s Lure Factory utiliza GitHub como plataforma de difusión. Con más de 300 paquetes infectados, los atacantes han logrado engañar a muchos usuarios utilizando repositorios que parecen perfectamente legítimos. Estos repositorios contienen software disfrazado de herramientas de desarrollo o de juego, y explotan la credibilidad de GitHub para infiltrarse en los sistemas de las víctimas.
Los atacantes han utilizado técnicas de prueba social para reforzar la credibilidad de estos repositorios, creando cuentas falsas para añadir estrellas y forks. Todo está orquestado a través del canal de Telegram «NumberLocationTrack», alcanzando así a un amplio público.
El malware de esta campaña está diseñado para pasar desapercibido. Se basa en una arquitectura compleja con dos archivos inofensivos individualmente, pero formidables una vez combinados: un ejecutable LuaJIT y un script Lua cifrado. Así, evitan los análisis clásicos de los antivirus.
Para protegerse aún más, el malware verifica varios parámetros técnicos antes de ejecutarse, como la presencia de un depurador o un nombre de máquina sospechoso. En caso de duda, entra en hibernación por un período tan largo como 29,000 años, haciendo su detección casi imposible.
La infraestructura del ataque incluye ocho servidores basados en Frankfurt, permitiendo gestionar simultáneamente a miles de víctimas. Los investigadores de Netskope han identificado que la arquitectura del código del servidor se asemeja más a la producida por una inteligencia artificial que a la de un desarrollador humano.
Esta automatización también se refleja en los nombres de las carpetas utilizadas para el malware, tomando términos oscuros de la biología y la medicina, reforzando la hipótesis de una generación automática por IA.
GitHub, a pesar de su reputación como plataforma de confianza para los desarrolladores, se encuentra aquí instrumentalizado por ciberdelincuentes. La seguridad en las plataformas en línea sigue siendo un desafío mayor, y este caso pone de relieve la necesidad de que los usuarios permanezcan vigilantes, incluso en sitios reputados.
GitHub fue informado de los repositorios fraudulentos por Netskope el 20 de marzo de 2026. Aunque se han tomado medidas para proteger a la comunidad, este incidente recuerda que incluso las páginas de proyecto más cuidadas y los contribuyentes más conocidos no garantizan la ausencia de riesgos.
Netskope es una empresa de seguridad reconocida por sus soluciones avanzadas en materia de protección de datos y detección de amenazas. Al revelar la campaña TroyDen’s Lure Factory, pone de relieve la importancia de la vigilancia en las plataformas de desarrollo colaborativo como GitHub.
GitHub, por su parte, es la plataforma de desarrollo más grande del mundo, utilizada por millones de desarrolladores para colaborar y compartir código. Aunque existen competidores, como GitLab y Bitbucket, GitHub sigue siendo una elección imprescindible para muchos profesionales del sector. Este caso subraya la necesidad de que GitHub y sus usuarios refuercen constantemente sus prácticas de seguridad para prevenir tales ataques.